Обсуждаем Dream Rust | Stealer в UPDATER.exe???

[Amongasik]

Эх придётся ещё одно говно отпинать ногами.

Кароче ситуация такова чёт сижу втыкаю думаю дай зайду куда то на 266 девблог смотрю dream rust у них свой клиент качаю ниче не думаю потом вижу без иконки Updater.exe - не понял и смотрю заливаю на вт вижу 29 ДЕТЕКТОВ НАХУЙ я прихуел знатно потом смотрю - "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -Command "Add-MpPreference -ExclusionPath 'C:\Users\Admin\AppData\Local\Temp'" и понимаю... НОВАЯ ТЕМА НА ЮГЕЙМ)))

Вот примерно что делает при запуске

Run Updater.exe -> Updater.exe -> powershell -> Checking GeoLocation (due to regkeys) if PROZY = SOSI LOH else -> downloading some client files (client/BepInEx/plugins/DreamMod.dll etc...) -> creating exclusion list "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -Command "Add-MpPreference -ExclusionPath 'C:\Users\Admin\AppData\Local\Temp'" -> Steal Web Session Cookie -> Closing app

Тоесть этот ТУПОЙ UPDATER.EXE СТИЛИТ БРАУЗЕР ДАННЫЕ)) угар, как я понимаю все их сейчас 90 человек онлайна под или стилером или под раткой хз возможно там и ратка так сильно не углублялся не ревёрсер сорри(

Вот примерный гайд удалить этот вирус возможно сработает

1. Убить все процессы powershell (подозрительные но лучше все), Убить Updater.exe если он запущен

2. Зайти в %temp% (win+r) чекнуть все недавние файлы которые SUS и удаляем

3. Заходим в Windows Defender и удаляем из исключений все исключения

4. Меняем везде пароли пока не поздно и привязываем получше


Скорее всего у них там сильнее защита от всего так что лучше просто снести винду это единственное что я вам предложу и реально помочь должно

Спасибо за прочтение этой темы, чето я начал карьеру с HACKING REVERZING всех шляковых скатовых девблогов....

ТЕПЕРЬ ЭТО ТОЧНО ЛАСТ ТЕМА ПРО ДЕВБЛОГИ!!!! (или нет....)

Эх придётся ещё одно говно отпинать ногами.

Кароче ситуация такова чёт сижу втыкаю думаю дай зайду куда то на 266 девблог смотрю dream rust у них свой клиент качаю ниче не думаю потом вижу без иконки Updater.exe - не понял и смотрю заливаю на вт вижу 29 ДЕТЕКТОВ НАХУЙ я прихуел знатно потом смотрю - "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -Command "Add-MpPreference -ExclusionPath 'C:\Users\Admin\AppData\Local\Temp'" и понимаю... НОВАЯ ТЕМА НА ЮГЕЙМ)))

Вот примерно что делает при запуске

Run Updater.exe -> Updater.exe -> powershell -> Checking GeoLocation (due to regkeys) if PROZY = SOSI LOH else -> downloading some client files (client/BepInEx/plugins/DreamMod.dll etc...) -> creating exclusion list "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -Command "Add-MpPreference -ExclusionPath 'C:\Users\Admin\AppData\Local\Temp'" -> Steal Web Session Cookie -> Closing app

Тоесть этот ТУПОЙ UPDATER.EXE СТИЛИТ БРАУЗЕР ДАННЫЕ)) угар, как я понимаю все их сейчас 90 человек онлайна под или стилером или под раткой хз возможно там и ратка так сильно не углублялся не ревёрсер сорри(

Вот примерный гайд удалить этот вирус возможно сработает

1. Убить все процессы powershell (подозрительные но лучше все), Убить Updater.exe если он запущен

2. Зайти в %temp% (win+r) чекнуть все недавние файлы которые SUS и удаляем

3. Заходим в Windows Defender и удаляем из исключений все исключения

4. Меняем везде пароли пока не поздно и привязываем получше


Скорее всего у них там сильнее защита от всего так что лучше просто снести винду это единственное что я вам предложу и реально помочь должно

Спасибо за прочтение этой темы, чето я начал карьеру с HACKING REVERZING всех шляковых скатовых девблогов....

ТЕПЕРЬ ЭТО ТОЧНО ЛАСТ ТЕМА ПРО ДЕВБЛОГИ!!!! (или нет....)

VT -

Пожалуйста, авторизуйтесь для просмотра ссылки.

TRIA.GE (NOAD) -

Пожалуйста, авторизуйтесь для просмотра ссылки.

 

[Amongasik]

апрувните пазязя

 

[lavcult]

Эх придётся ещё одно говно отпинать ногами.

Кароче ситуация такова чёт сижу втыкаю думаю дай зайду куда то на 266 девблог смотрю dream rust у них свой клиент качаю ниче не думаю потом вижу без иконки Updater.exe - не понял и смотрю заливаю на вт вижу 29 ДЕТЕКТОВ НАХУЙ я прихуел знатно потом смотрю - "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -Command "Add-MpPreference -ExclusionPath 'C:\Users\Admin\AppData\Local\Temp'" и понимаю... НОВАЯ ТЕМА НА ЮГЕЙМ)))

Вот примерно что делает при запуске

Run Updater.exe -> Updater.exe -> powershell -> Checking GeoLocation (due to regkeys) if PROZY = SOSI LOH else -> downloading some client files (client/BepInEx/plugins/DreamMod.dll etc...) -> creating exclusion list "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -Command "Add-MpPreference -ExclusionPath 'C:\Users\Admin\AppData\Local\Temp'" -> Steal Web Session Cookie -> Closing app

Тоесть этот ТУПОЙ UPDATER.EXE СТИЛИТ БРАУЗЕР ДАННЫЕ)) угар, как я понимаю все их сейчас 90 человек онлайна под или стилером или под раткой хз возможно там и ратка так сильно не углублялся не ревёрсер сорри(

Вот примерный гайд удалить этот вирус возможно сработает

1. Убить все процессы powershell (подозрительные но лучше все), Убить Updater.exe если он запущен

2. Зайти в %temp% (win+r) чекнуть все недавние файлы которые SUS и удаляем

3. Заходим в Windows Defender и удаляем из исключений все исключения

4. Меняем везде пароли пока не поздно и привязываем получше


Скорее всего у них там сильнее защита от всего так что лучше просто снести винду это единственное что я вам предложу и реально помочь должно

Спасибо за прочтение этой темы, чето я начал карьеру с HACKING REVERZING всех шляковых скатовых девблогов....

ТЕПЕРЬ ЭТО ТОЧНО ЛАСТ ТЕМА ПРО ДЕВБЛОГИ!!!! (или нет....)

VT -

Пожалуйста, авторизуйтесь для просмотра ссылки.

TRIA.GE (NOAD) -

Пожалуйста, авторизуйтесь для просмотра ссылки.

nice

 

[glovrod]

Сносить винду от стиллера?
Смешные у тебя темы чувак

 

[sippingfanta]

Сносить винду от стиллера?
Смешные у тебя темы чувак

так то он прав, реинсталл точно лишним не будет

 

[dfdfddddddd]

РеверZинг... молодец пацан... продвигайся в этой теме

 

[dfdfddddddd]

Сносить винду от стиллера?
Смешные у тебя темы чувак

ну для большей безопасности конечно да, если он в автозагрузку ложится и не хочешь что бы по кд с твоего дс рассылали рекламу казино.

 

[Blueprint]

запустил я, не стиллер тк как браузер не закрылся для стилла microsoft edge ну или они его упустили, закинул в detect it easy там увидел классы на .py 1 остальные .gs сам он c++ содержит внутри себя C# через днспай неработает тк как c# внутри c++ , в тепме ничего ненашел, через хорошую программу simpleunlocker посмотрел все автозагрузки и они пустые, касперский жаловался на то что он создает в папке виндовс explorer.exe мне кажется он его как то пересоздает но нету черного экрана при открытии, чекнул дату експлорера - 2024 года что нормально хоть и винда была установлена в 26 тк другие файлы тоже такие системные.А теперь интересное - D:\\a\\_work\\1\\s\\src\\coreclr\\jit\\hwintrinsiccodegenxarch.cpp как я понял создается диск на пару секунд где компилируется какаята хрень, и еще путь D:\\a\\_work\\1\\s\\src\\coreclr\\jit\\codegenxarch.cpp.Но еще это похоже на логи исходного кода на компьютере создателя, может это бред или нет, я незнаю это догадки.Рядом я увидел Compiled %d methods that meet the filter requirement.\n Compiled %d bytecodes total (%8.2f avg).\n что полностью подтверждает что оно создает второй диск с компиляцией по сути.Но если на пк нет компилятора, к чему файлу вес 66 мегабайтов??? в том же sunfirerust апдейтер весом в 2 мегабайта, и да в этом апдейтера на дрим расте есть файлы obfuscation.gs.И оно использует (Heur)Packer: Packer detected[Strange overlay].Итог - не советую скачивать, а если скачали то на удачу вашу, может что то сделает с вами и данными, а может и нет -_-

 

[Blueprint]

ВНИМАНИЕ!! ОБНАРУЖИЛ ВИРУС!Удаляйте , сначало проверьте присутствие -
reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs
reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v LoadAppInit_DLLs

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows - ВИРУС
AppInit_DLLs REG_SZ C:\Users\mda\AppData\Local\WMIS\WMIS64.dll


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
LoadAppInit_DLLs REG_DWORD 0x1 - ВИРУС ЭТО ЗНАЧИТ ЧТО В КАЖДОЕ ВАШЕ ЗАПУЩЕННОЕ ПРИЛОЖЕНИЕ БУДЕТ ЗАГРУЖАТСЯ ДЛЛКА ДЛЯ УДАЛЕННОГО ВЗАИМОДЕЙСТВИЯ.Немедленно выполните эти команды :
Windows PowerShell
(C) Корпорация Майкрософт (Microsoft Corporation). Все права защищены.

Попробуйте новую кроссплатформенную оболочку PowerShell (

Пожалуйста, авторизуйтесь для просмотра ссылки.

)

PS C:\Windows\system32> reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "" /f
Параметр AppInit_DLLs уже существует, заменить (Y - да/N - нет)? Y
Операция успешно завершена.
PS C:\Windows\system32> reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v LoadAppInit_DLLs /t REG_DWORD /d 0 /f
>>
>> # 3. Проверить, что очистилось
>> reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs
>> reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v LoadAppInit_DLLs
>>
>> # 4. Удалить файл вируса
>> Stop-Process -Name "WMIS*" -Force -ErrorAction SilentlyContinue
>> Remove-Item "C:\Users\mda\AppData\Local\WMIS\WMIS64.dll" -Force -ErrorAction SilentlyContinue
>> Remove-Item "C:\Users\mda\AppData\Local\WMIS" -Force -Recurse -ErrorAction SilentlyContinue
Операция успешно завершена.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_DLLs REG_SZ /f


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
LoadAppInit_DLLs REG_DWORD 0x0

PS C:\Windows\system32>