[Стратегиус]

---

Мануал для тех, кто нарвался на вирус в Репаке от релиз-группы R.G. Steamgames (Brick) - например, в репаке Mad Max.

---

Суть проблемы

---

"Зараза" находится в инсталляторах репаков.
Там два файла (они теперь хорошо гуглятся как раз в связке с этим трояном)
vcredist_x86.cfg
vcredist_x86.exe

При установке они копируются в локальные документы пользователя и оттуда запускаются.
Без cfg EXE вроде ничего опасного не делает (а потому на него не реагируют антивирусы).
С ним же - дешифрует значения и прописывает пути для открытия сайта в реестр и блокирует ряд программ.

Содержимое vcredist_x86.cfg в зашифрованном и расшифрованном виде: (Reveal)

<appSettings>
<add key="Days" value="NQ=="/>
<add key="RPath" value="U29mdHdhcmVcTWljcm9zb2Z0XFdpbmRvd3NcQ3VycmVudFZlcnNpb25cUnVu"/>
<add key="RPath2" value="U09GVFdBUkVcTWljcm9zb2Z0XFdpbmRvd3MgTlRcQ3VycmVudFZlcnNpb25cSW1hZ2UgRmlsZSBFeGVjdXRpb24gT3B0aW9uc1xyZWdlZGl0LmV4ZQ==" />
<add key="RPath3" value="U09GVFdBUkVcTWljcm9zb2Z0XFdpbmRvd3MgTlRcQ3VycmVudFZlcnNpb25cSW1hZ2UgRmlsZSBFeGVjdXRpb24gT3B0aW9uc1xhdnouZXhl" />
<add key="RPath4" value="U09GVFdBUkVcTWljcm9zb2Z0XFdpbmRvd3MgTlRcQ3VycmVudFZlcnNpb25cSW1hZ2UgRmlsZSBFeGVjdXRpb24gT3B0aW9uc1xDQ2xlYW5lci5leGU=" />
<add key="RPath5" value="U09GVFdBUkVcTWljcm9zb2Z0XFdpbmRvd3MgTlRcQ3VycmVudFZlcnNpb25cSW1hZ2UgRmlsZSBFeGVjdXRpb24gT3B0aW9uc1xDQ2xlYW5lcjY0LmV4ZQ==" />
<add key="RPath6" value="U09GVFdBUkVcTWljcm9zb2Z0XFdpbmRvd3MgTlRcQ3VycmVudFZlcnNpb25cSW1hZ2UgRmlsZSBFeGVjdXRpb24gT3B0aW9uc1xSZWdXb3Jrcy5leGU=" />
<add key="RPath7" value="U09GVFdBUkVcTWljcm9zb2Z0XFdpbmRvd3MgTlRcQ3VycmVudFZlcnNpb25cSW1hZ2UgRmlsZSBFeGVjdXRpb24gT3B0aW9uc1xBdXRvTG9nZ2VyLmV4ZQ==" />
<add key="RPath8" value="U09GVFdBUkVcTWljcm9zb2Z0XFdpbmRvd3MgTlRcQ3VycmVudFZlcnNpb25cSW1hZ2UgRmlsZSBFeGVjdXRpb24gT3B0aW9uc1xIaUphY2tUaGlzLmV4ZQ==" />
<add key="RPath9" value="U09GVFdBUkVcTWljcm9zb2Z0XFdpbmRvd3MgTlRcQ3VycmVudFZlcnNpb25cSW1hZ2UgRmlsZSBFeGVjdXRpb24gT3B0aW9uc1xBblZpci5leGU=" />
<add key="RPath10" value="U09GVFdBUkVcTWljcm9zb2Z0XFdpbmRvd3MgTlRcQ3VycmVudFZlcnNpb25cSW1hZ2UgRmlsZSBFeGVjdXRpb24gT3B0aW9uc1xGUlNULmV4ZQ==" />
<add key="RPath11" value="U09GVFdBUkVcTWljcm9zb2Z0XFdpbmRvd3MgTlRcQ3VycmVudFZlcnNpb25cSW1hZ2UgRmlsZSBFeGVjdXRpb24gT3B0aW9uc1xGUlNUNjQuZXhl" />
<add key="RPath12" value="U09GVFdBUkVcTWljcm9zb2Z0XFdpbmRvd3MgTlRcQ3VycmVudFZlcnNpb25cSW1hZ2UgRmlsZSBFeGVjdXRpb24gT3B0aW9uc1xSU0lULmV4ZQ==" />
<add key="RPath13" value="U09GVFdBUkVcTWljcm9zb2Z0XFdpbmRvd3MgTlRcQ3VycmVudFZlcnNpb25cSW1hZ2UgRmlsZSBFeGVjdXRpb24gT3B0aW9uc1xSU0lUeDY0LmV4ZQ==" />
<add key="RPath14" value="U09GVFdBUkVcTWljcm9zb2Z0XFdpbmRvd3MgTlRcQ3VycmVudFZlcnNpb25cSW1hZ2UgRmlsZSBFeGVjdXRpb24gT3B0aW9uc1xhZHdjbGVhbmVyXzUuMDA1LmV4ZQ==" />
<add key="RPath15" value="U09GVFdBUkVcTWljcm9zb2Z0XFdpbmRvd3MgTlRcQ3VycmVudFZlcnNpb25cSW1hZ2UgRmlsZSBFeGVjdXRpb24gT3B0aW9uc1xtYmFtLmV4ZQ==" />
<add key="RName" value="Q01E"/>
<add key="RValue" value="Y21kLmV4ZSAvYyBzdGFydCBodHRwOi8vZ2FuZ25hbWdhbWUub3JnICYmIGV4aXQ=" />
<add key="RNameX" value="RGVidWdnZXI="/>
<add key="RValueX" value="c3ZjaG9zdC5leGU="/>
</appSettings>

After decoding


<appSettings>
<add key="Days" value="5"/>
<add key="RPath" value="Software\Microsoft\Windows\CurrentVersion\Run" />
<add key="RPath2" value="SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe"/>
<add key="RPath3" value="SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avz.exe"/>
<add key="RPath4" value="SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCleaner.exe"/>
<add key="RPath5" value="SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCleaner64.exe"/>
<add key="RPath6" value="SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RegWorks.exe"/>
<add key="RPath7" value="SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AutoLogger.exe"/>
<add key="RPath8" value="SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HiJackThis.exe"/>
<add key="RPath9" value="SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AnVir.exe"/>
<add key="RPath10" value="SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FRST.exe"/>
<add key="RPath11" value="SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FRST64.exe"/>
<add key="RPath12" value="SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RSIT.exe"/>
<add key="RPath13" value="SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RSITx64.exe"/>
<add key="RPath14" value="SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\adwcleaner_5.005.exe"/>
<add key="RPath15" value="SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mbam.exe"/>
<add key="RName" value="CMD"/>
<add key="RValue" value="cmd.exe /c start http:// gangnamgame .орг && exit"/>
<add key="RNameX" value="Debugger"/>
<add key="RValueX" value="svchost.exe"/>
</appSettings>

Содержимое CFG-файла закодировано простейшим алгоритмом base64.
После декодирования (можно, например, тут - To view the link Register)
видно, что эта тулза именно что прописывает gangnamgame.org в дефолт к браузеру и блокирует редактор реестра и ряд других программ. Мерзость и гадость.

И еще деталька - по конфигу она активируется только через 5 дней. Поэтому не сразу все заметили проблему и начали обвинять репаки, которые ставили позже.

---

--------------------------------------------------------------------------------- -----------------------------
Инструкция и метод лечения
--------------------------------------------------------------------------------- -----------------------------
1) Скачиваете AVZ. Переименовываете её как угодно(например: SDAVZ), иначе вредонос не даст вам её запустить.
2) Запускаете программу.
3) Выбираете вверху "Файл"-> "выполнить скрипт", вставляете в поле текст скрипта -> "запустить"

--------------------------------------------------------------------------------- -----------------------------
Код (скрипт):
--------------------------------------------------------------------------------- -----------------------------

begin 
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\
CurrentVersion\Run','CMD'); 
ExecuteSysClean; 
RebootWindows(false); 
end.

--------------------------------------------------------------------------------- -----------------------------
Убрать CMD(cmd.exe) из автозагрузки в msconfig.(это то что запускает при старте системы браузер на gangnamgame.org)
--------------------------------------------------------------------------------- -----------------------------
Чтобы CCleaner, RegEdit и прочие программы работали:
--------------------------------------------------------------------------------- -----------------------------
1) Запускаете программу AVZ(SDAVZ)
2) Открываете: Файл -> Обновление баз -> Пуск -> Ок
3) Открываете: Файл -> Мастер поиска и устранения проблем
4) Выбираете: Категория проблемы - Системные проблемы, степень опасности - все проблемы -> Пуск
5) Из выпавшего списка выбираете строчку "Обнаружен отладчик системного процесса", ставите напротив неё галочку и снизу нажимаете "Исправить отмеченные проблемы"

---

Другой метод (Решение проблемы с вирусами от Brick R.G. SteamGames)

---

Смотрим видео и качаем прогу:

Если не запустится, просто переименуйте EXE стороннего редактора реестра во что-нить типа 123.exe - троян тупой как кирпич и просто имена файлов при запуске проверяет.

Переходим:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options

и удаляем оттуда всё из этого списка:

regedit.exe
avz.exe
CCleaner.exe
CCleaner64.exe
RegWorks.exe
AutoLogger.exe
HiJackThis.exe
AnVir.exe
FRST.exe
FRST64.exe
RSIT.exe
RSITx64.exe
adwcleaner_5.005.exe
mbam.exe

Перезагружаем ПК

Скачиваем эту программу: To view the link Register

Смотрим видео:

И делаем всё как на нём, пк автоматически перезагрузится.
Все вирусы которые удалит эта программа можно посмотреть на диске C в папке adwcleaner и файле adwcleaner.txt на диске C.

---

P.S. - Мануал от портала paste2.org.

---

[Аорс]

О господи, лучше купите лицензию.

[Witch Hunter]

Ни разу в жизни не встречал вирусов в репаках. И да, нефиг качать раздачи неизвестных релиз групп.

[Arahnas]

Дааа, поймать вируса в репаке - это ещё умудриться надо.
1. На нормальных тррент-трекерах (To view the link Register, To view the link Register, To view the link Register, To view the link Register, To view the link Register) все раздачи проверяются.
2. Известные релизёры, которые дорожат своей репутацией и делают отличные репаки, у которых вы никогда не словите вируса - это R.G. Games, Let'sРlay, R.G. Механики, R.G. Игроманы, R.G. Catalyst. Нормальный репак на практически любую новую игру найти вообще не проблема!
3. Хорошие антивирусы (Касперский, Dr.Web) такую фигню не пропустили бы.
4. Дурные антивирусы, вроде Аваста, AVG, Панды, Авиры, иногда ругаются на репаки, воспринимая "таблетки" как трояны.

В данном случае камрад действительно словил простенький вирус.

Стратегиус (01 October 2015, 08:00):

Мануал для тех, кто нарвался на вирус в Репаке от релиз-группы R.G. Steamgames (Brick) - например, в репаке Mad Max.
"Зараза" находится в инсталляторах репаков. Там два файла (они теперь хорошо гуглятся как раз в связке с этим трояном)
vcredist_x86.cfg
vcredist_x86.exe

Причем вирус сидел не в самом репаке, а в дистрибутиве вижуал С++, это дополнительное ПО такое, которое используют многие игры (и не только).

Лечение этой ерунды можно проводить гораздо проще (тем, у кого нет путного антивируса).
Скачиваем бесплатную антивирусную утилиту у известных производителей антивирусного ПО (а не хер знает от куда ): To view the link Register или To view the link Register.
Вообще полезно их держать где-нибудь на флешке (места занимают - копейки). Далее запускаем комп в "безопасном режиме" (это при загрузке надо кнопочку F8 жмякать), далее запускаем прогу, жмём "сканировать" и идём гулять часика на 2-3.
Всё вылечат. Ещё всякие To view the link Register.

И не надо тут панику разводить "вирусы в репаках", блин, я их кучу перекачал, хоть бы разок словить заразу. Дык нету на нормальных ресурсах, да и Каспер бдит, зараза.

[unda]

я ловил пару раз вирусы в репаках. В последний раз такое было после установки Мортал Комбат Х. У меня без спроса установился майнер, из-за которого видяха гудела и выла при подключении к инету безбожно. В итоге руками удалил данную мерзость.

[Стратегиус]

Аорс, согласен с вами, но не всегда это возможно.

ncdn

нефиг качать раздачи неизвестных релиз групп.

Совершенно верно, я выложил эту инфу для тех, кто, возможно, нарвался.

Arahnas

В данном случае камрад действительно словил простенький вирус.

Я не ловил

Arahnas

в дистрибутиве вижуал С++

Это не дистрибутив с++, а просто экзешник с вирусом с его именем )

- - - - - - Сообщение автоматически склеено - - - - - -

Arahnas

И не надо тут панику разводить "вирусы в репаках", блин, я их кучу перекачал, хоть бы разок словить заразу.

Никто панику не разводит. Я просто раместил информацию по недавнему скандалу С Мад Максом. Некие "товарисчи" пустили слух, что якобы в таблетке от 3DM вирус. Механики с этим разобрались быстро, оказалось, что вирус был в репаке R.G. Steamgames (от репакера Brick).

Arahnas, и да, вы забыли в списке надёжных репакеров упомянуть Хатаба - отличные репаки делает, и без вирусни. На Русторке он первый )

[Лорд Командующий]

Arahnas
Использую "хороший атнивирус- Dr Web" и тем не менее словил этот вирус.

[rokkero]

Стратегиус

R.G. Steamgames (Brick)

Я уже запаниковал, но оказалось, что все нормально - у меня почти все репаки от R.G. Механикс, у них и обьем самый меньший, и качественно все. Да впринципе, у меня и так пару вирусняков завелось наверное, давно Винду не переустановлял.

А репутация репакера Brick подмочена навсегда...

[indevion]

Когда я нажимаю кнопку "запустить" скрипт, мне выдаёт ошибку на 2:37