Вирус от которого пропадает сеть

17.06.2012, 23:58

После вируса пропал интернет
Доброго всем время суток! Проблема следующая: два компьютера работают в домашней сети по вайфай.

Перестали запускаться некоторые программы
Сначало все было хорошо. Потом нужно было скачать программу "КОМПАС". Для ее взлома нужно было.

Перестали запускаться некоторые программы
Здравствуйте. Проблема в том что перестали запускаться такие рограммы как AutoCad, 3DsMax и.

Перестали запускаться игры и некоторые программы
В общем перестали запусаться игры и некоторые программы, то есть они запускаются и вырубаются.

18.06.2012, 00:46 2

ссылки на результат запостите здесь

2. AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.

Попробуйте запустить службы к которым доступ запрещен

3. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет отмечено, удалять ничего не нужно.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

4. сделайте лог HijackThis с подключенным интернетом

5. если не устраивает каспер, установите другой антивирус

18.06.2012, 01:33 [ТС] 3 18.06.2012, 06:36 4 18.06.2012, 21:07 [ТС] 5 18.06.2012, 22:30 [ТС] 6 19.06.2012, 00:35 7

1. из найденного MBAM удалите:

Если Rubar сами не устанавливали, его тоже:

Обнаруженные файлы: 8
C:\Program Files\mediabar Toolbar\rubar.dll (PUP.Rubar) -> Действие не было предпринято.
C:\Program Files\mediabar Toolbar\RubarUpdateService.exe (PUP.Rubar) -> Действие не было предпринято.

2. клоны адаптеров 6to4 нужно удалить - по одному.

3. Если не используете ipv6, желательно ттключить ее поддержку + teredo:

D командной строке от администратора (скопируйте):

Не работает интернет.

Расширения файла – три буквы в конце названия, после точки. Например блокнот windows — notepad.exe, встроенный в Windows графический редактор — mspaint.exe, или мультфильм “Маша и медведь.avi”, песня А.Б. Пугачёвой – Айсберг.mp3. Я предлагаю всё это сделать видимым. Для этого в панели управления, доступ к панели можно получить через Кнопку — Пуск (Start) -> Панель Управления.

Панель управления, свойства папки

И далее -> Свойство папки -> вкладка Вид -> Снять галку – “Скрывать расширения для зарегистрированных типов файлов “, применить. После такой операции вы будете видеть всё, что запускаете.

Свойства папки

Теперь вернёмся к вопросу – о не работающем интернет. Все три случая – как под копирку. В квартиру приходит кабель от провайдера, вставлен в Wi-Fi роутер. Роутер раздаёт интернет через DHCP (DHCP — программа в роутере присваивающая вашим железякам номера, чтобы помнить как к ним обращаться), вайфаем и кабелем (патчкордом) по квартире.
На одном из ноутбуков интернет не работает, хотя в наладоннике и в стационарном компьютере интернет есть. На том ноутбуке где сайты не открываются, значок в нижнем правом углу говорит, что всё нормально — интернет подключен. Но как я уже сказал на деле его нет.

Напишу алгоритм поиска неисправности:
1. Запускаем консоль ( Кнопка Пуск -> Выполнить -> cmd.exe ). В консоле пишем ping ya.ru. Если видим что-то типа такого.

ping ya.ru

Значит что-то с вашим Браузером (Explorer, Opera, Mozilla, GoogleHrome) не всё ладно. Ищем новый дистрибутив и устанавливаем его заново.

Если видим такую картину.

Пинг не проходит

2. Отключаем Windows Брэндмауэр (Firewall), пробуем интернет.

3. Отключаем Антивирус, а лучше удаляем. пробуем интернет. Ставим другой, пробуем.

4. Пробуем подключить ноутбук к роутеру через кабель (пачкорд).

патчкорд

Если интернет ping проходит, значит проблемы с WiFi. Пытаемся перезапустить роутер. Если после перезапуска интернет через Wi-Fi снова не работает, пытаемся разобраться с модулем Wi-Fi в ноутбуке Для этого надо включить, отключить Wi-Fi, стереть все имеющиеся подключения в Свойствах Сетевого Адаптера -> Беспроводные сети.
Переустановить драйвера

(Старые удалить, предварительно скачав новые, у производителя модуля).

драйвер wi-fi модуля

Если после проделанных манипуляций интернет работает у всех кроме вас.
5. Начинать борьбу с вирусами:
6. Для начала посмотреть что грузится с системой, т.е. Автозагрузка.

автозагрузка

Запустить через кн. Пуск -> Выполнить -> ввести команду – msconfig -> вкладка Автозагрузка.

msconfig - автозагрузка

Отключаем всё лишнее, если не знаете что, для чего, сверяемся с Internet Google Search.
Если после отключения и перезагрузки интернета нет, делаем следующее.

7. Добавляем нового пользователя в систему, и даём права Администратора, перезагружаем систему, и пробуем войти новым пользователем, если интернет работает, значит профиль вашего старого пользователя испорчен или заражен вирусом. (Далее боремся с найденной проблемой)

8. Дальнейшее, сложнее, — Воспользуйтесь услугами профи.
Идём в свойства папок, через панель управления, и снимаем галки – Скрывать системные файлы и папки, Скрывать Расширения для системных файлов, выбираем – Показывать скрытые папки и файлы.

свойства папок

Идём чистить профили пользователей. — Default User, All Users, и пользовательские папки. Ищем лишнее. Очистить папки Temp, Проверить папки автозагрузки. ( я знаю чего там быть не должно), вам Internet в помощь.

9. Дальнейшее, сложнее, — Воспользуйтесь услугами профи.
Проверяем Системный реестр — Запустить через кн. Пуск -> Выполнить -> ввести команду – regedit. Запустится редактор Реестра.

редактор реестра Windows - regedit

Обязательно проверить две ветки:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

В них не должно быть ничего лишнего. В помощь Google-Serach

11. Через Total Commander проверить папки C:\RECYCLER\

вирус в папке recicler

12. Проверяем на вирусы. Как найти вирус — для начала смотрим в ручную C:\WINDOWS\SYSTEM32 на предмет не понятных файлов – csrcs.exe, aadrive32.exe или 22CC6C32.exe и пр.. Запускаем Антивирус на полную проверку системы. ( файлы в настройках сказать не удалять, а перемещать в карантин).

На этом этапе в двух случаях интернет через вайфай заработал. В третьем случае я загрузил систему с флэшки с WinPE_uVS _recSys, и нашёл не достающие.

WinPE_uVS _recSys - как найти вирус

13. WinPE_uVS _recSys или Win7PE_uVS – вам в помощь. Для сложных случаев.

Всем доброго времени суток! Ко мне постоянно приходят письма, где описывается почти одна и та же проблема – постоянно пропадает и появляется интернет. При этом подключение может быть как по Wi-Fi так и прямым путем по кабелю. Так как я сам несколько раз сталкивался с этой проблемой, то сегодня я постараюсь рассказать вам – что нужно делать.

Ещё один вариант, когда устройство очень долго подключается к беспроводной сети. Конечно в итоге подключение появляется, но проходит при этом минуты 2-3. Бывает когда скорость интернета сильно падает, а потом через какое-то время вновь появляется. Иногда при подключении по WiFi уровень сигнала постоянно скачет, а иногда и вовсе пропадает.

ПОМОЩЬ СПЕЦИАЛИСТА! В статье я постарался как можно детальнее раскрыть проблему когда вай-фай или интернет то пропадает, то появляется. Но если у вас возникнут вопросы или что-то будет не получаться – то смело пишем в комментариях и я вам помогу.

Первые действия

Самое первое, что нужно понять – с какой стороны идёт проблема и что именно не так. Давайте рассмотрим все причины – почему пропадает подключение к интернету:

• Проблема с роутером;
• Поломка у провайдера;
• Ошибка системы, сетевого модуля или адаптера.

Если у вас подключение идёт напрямую от роутера по кабелю, то возможно проблема именно с маршрутизатором. Попробуйте подключить другое устройство к роутеру: планшет или телефон. Если проблема сохранится, то скорее всего поможет смена каналов у Wi-Fi в настройках аппарата ( об этом я пишу в следующей главе).

Если прерывание сети будет только на компьютере, то попробуйте поменять LAN порт. Их обычно несколько, поэтому просто возьмите и переткните кабель в соседний вход. Если у вас подключение идёт по Wi-Fi то также поверьте и подключите другие устройства. Также перезагрузите интернет-центр, нажав на кнопку ON/OFF. Для перезагрузки – можно также просто выдернуть его из розетки и вставить обратно.

Подключение по Wi-Fi

Как один из вариантов – это смена свободного канала. Дело в том, что чаще всего в роутерах используется частота 2.4 ГГц. В ней всего 13 каналов, из которых используется 11. Если вы живете в многоквартирном доме, то есть вероятность, что на вашем канале сидит другой соседский роутер.

В таком случае два роутера просто начнут глушить друг друга и мешать работе. По умолчанию маршрутизатор сам выбираем свободный канал при загрузке, но если соседей слишком много, то велика вероятность оказаться на одном канале с1одним или даже несколькими соседскими маршрутизаторами.

У D-Link можно посмотреть загруженность канала прям из настроек и сразу выбрать свободный. Но всё же лучше воспользоваться программами, о которых я говорю в той статье.

Плохой сигнал

Бывает, что интернет при подключении по Wi-Fi работает только рядом с маршрутизатором. Связь плохая и постоянно прерывается. В таком случае нужно понять, почему сигнал глушится. Возможно роутер просто стоит в неправильном месте.

Убедитесь, чтобы на пути радиоволны не было металлических предметов, зеркал или очень толстого бетона. Если у вас очень большой дом, то возможно ему просто не хватает мощности. Также советую статью по увеличению радиуса WiFi сигнала. Там рассказаны основные методы по улучшения вай-фай связи.

Ещё один вариант решения для ноутбуков – при плохом сигнале, чтобы ноут постоянно пытался подключиться к сети, даже если сигнал плохой или его вообще нет.

1. Для этого нажмите правой кнопкой по подключению и зайдите в центр управления.

Решение со стороны ноутбука или компьютера

Первое чтобы я сделал – это обновил драйвера на сетевой адаптер и Wi-Fi. Как это делается – я писал в этой статье. Если это поможет, то я бы не спешил радоваться и сделал бы ещё пару вещей.

Если интернет вообще пропал с компа и ни в какую не хочет подключаться, то может помочь откат системы до последней точки восстановления.

Подключение по кабелю

Если у вас идет прямое подключение от провайдера, то скорее всего проблема именно у него. У меня была такая проблема, пока я не позвонил и не поговорил с технической поддержкой. В итоге оказалось, что прерывания создавал коммутатор, к которому я был подключен. Его обычно ставят на технический этаж в многоквартирных домах.

Конечно как вариант может быть проблема именно с сетевым адаптером. При этом подключение по Wi-Fi стабильное, а вот по кабелю постоянно прерывается. Ещё раз можете попробовать переключить в другой LAN порт на роутере, если он у вас есть.

Слабый маршрутизатор

Если у вас Wi-Fi или интернет отваливается в момент подключения большого количества устройств. Например по вечерам когда вся семья дома и все активно начинают пользоваться интернетом. Тогда это может символизировать о том, что ваш аппарат просто не справляется с такой большой нагрузкой. Особенно это касается бюджетных моделей, который были куплены за пару тысяч рублей.

При этом если всего 2-3 подключения, то всё нормально. Но если интернетом начинают активно пользоваться больше людей, то роутер зависает и его приходится перезагружать. Тогда может помочь только приобретение более мощной модели. Можете посмотреть нашу подборку лучших моделей тут. Или спросите меня в комментариях.

Проблема с роутером

И так, вы всё же поняли, что с вашим интернет-центром что-то не так. При этом он может сам перезагружаться, зависать или просто выключаться. Самым отличным способом будет посмотреть на индикаторы, которые полностью выключаются в момент перезагрузки.

Второй симптом того, что маршрутизатор при подключении по Wi-Fi отказывается раздавать интернет. При этом подключение к беспроводной сети есть, но вот интернета нет. При этом по кабелю всё хорошо и соединение стабильно.

В таком случае как правило помогает перезагрузка. Но если маршрутизатор нужно перезагружать всё чаще, то это может означать, что он уже сильно устарел и пора бы приобрести новый. Особенно если ему больше 5 лет.

Если аппарат перезагружается или выключается сам, то поломка может быть и со стороны электросети. Попробуйте переключить его в другую розетку. Другой вариант – это проблема с электролитическими конденсаторами, который могут вздуваться и выходить из строя. Узнать об этом очень легко – нужно просто снять верхнюю крышку аппарата. Аналогично можно посмотреть и блок питания.

Если все же будут обнаружен изъян, то можно будет попробовать самостоятельно перепаять на новый транзистор. Или отнести аппарат в ремонт. Блок питания лучше приобрести новый. В качестве дополнения можете прочитать более подробную стать по решению этой проблемы по этой ссылке.

Условно причины отсутствия соединения с сетью интернет можно подразделить на внешние (не зависящих от компьютера пользователя и не решаемые собственными силами) и внутренние (находящиеся в зоне работы компьютерной сети).

Не стоит бить тревогу с самого начала, изначально проверьте нет ли физических повреждений роутера или кабеля, после чего перезагрузите компьютер и роутер. Возможно во время работы сбились настройки, с помощью обычного перезапуска устройства можно решить проблему. Если же после этих простых действий подключение отсутствует, стоит разобраться в этом вопросе детальнее.

Внутренние причины: почему пропадает интернет

Подключение к сети настраивают единожды в начале установки, обычно после этого нет нужды вносить коррективы в его работу, но в случае сбоя в системе (возникающего в силу разных обстоятельств) возникает необходимость проведения диагностики. Виной этому могут послужить как вирусные файлы, так и работа самой операционной системы. Также компьютер подвержен влиянию человека, в особенности если он находится в общем пользовании. В любом из этих случаев, если пропал интернет на компьютере, возникает необходимость проверки настроек подключения. Для этого нужно взять инструкцию (которая предоставляется каждым провайдером, при заключении договора) и по пунктам проверить правильность подключения или настроить новое.

В 40% случаев пропадает сеть интернета в связи с атакой вирусов. Многие зараженные файлы могут быть причиной блокировки различных соединений или полностью перекрывать трафик.

Чтобы избавится от вирусов необходим загрузить обновленную версию антивирусной программы (желательно производить установку с диска). Некоторые виды вирусов блокируют поиск антивирусной программы и могут скрываться от нее, если запуск был произведен в одной и той же операционной системе. Специалисты АКАДО-Урал советуют использовать для лечения другую не зараженную операционку. Если у вас нет другого оборудования или должных знаний, можно воспользоваться безопасным режимом и в нем осуществлять поиск и лечение вирусов или обратится за помощью к профессионалам.

АКАДО-Урал предлагает услугу Доктор АКАДО (ранее Мультимастер). Специалисты компании окажут Вам квалифицированную помощь в настройке оборудования, установке программного обеспечения, лечения ПК от вирусов и другие работы.

Внешние причины: почему периодически пропадает интернет

Провайдер – это связующее звено, соединяющее пользователей с интернетом, вся информация проходит через него. От него зависит качество интернета, а многие проблемы возникают в случае неполадок в предоставлении связи со стороны провайдера. К примеру, часто обрывы интернета происходят из-за неисправного оборудования, внеплановых технических работ и прочих мелочей, находящихся в компетенции интернет-провайдера.

Данная организация несет ответственность за качественную подачу связи и в 50% случаев, когда постоянно пропадает интернет необходимо обращаться за помощью в технический отдел.

Естественно не все решается таким способом, некоторые причины отсутствия интернета напрямую зависят от программ и настроек системы. Перед обращением к техникам компании АКАДО, не забудьте проверить свой баланс, если он вышел за пределы использования, то доступ к глобальной сети автоматически заблокируется. В случае пополнения счета, вы сможете снова пользоваться всеми возможностями сети.

Пополнить счет можно в личном кабинете.

В 30% случаев пропадает сеть интернета в следствии обрыва или физического повреждения каналов связи, располагающихся в пределах здания. В основном данная проблема решается специалистами, для проведения самостоятельной диагностики нужно знать вид используемого канала и его особенности.

К примеру, диагностику канала кабельного типа необходимо начинать с проверки целостности проводки, располагающейся в помещении. Стоит отметить, что в некоторых случаях это сделать без наличия профессионального оборудования невозможно, но есть пару способов начальной проверки и без его использования.

Надеемся представленные выше советы помогут вам понять почему пропал интернет вай фай или прямое подключение не прибегая к помощи специалистов. Если проблема не решилась с помощью этих рекомендаций, стоит обратится за помощью к специалистам. Если проблема не решилась с помощью этих рекомендаций, стоит обратится за помощью к специалистам нашей компании. Мы поможем определить точные причины появления неисправности в подключении и устранить ее.

Звонит мне клиент и говорит что не может на сервере работать так-как всё жёстко тормозит.

Подключаюсь я вообщем к нему, захожу в диспетчер задач и наблюдаю картину:

Процесс Svshost.exe загружает проц на 80-90%, перехожу в каталог где лежит сие чудо (папка кстати называется 4nationcal). Убиваю процесс, в каталоге 4nationcal удаляю файл и на место одного процесс вылазит 2-3. что делать как быть я хз. Сканировал Касперским, Нодом, Авестом, всё в пустую находит вирус, удаляет но после пары перезагрузок всё возвращается.

Самое страшное что всё кто подключаются по RDP, зависают при входе и дальше темнота, ещё в придачу перестали работать сетевые каталоги и принтеры. Ещё в

Панель управления\Все элементы панели управления\Центр управления сетями и общим доступом\Дополнительные параметры общего доступа не возможно включить сетевое обнаружение.

Вирусу как я понял не нужны права админа т.к. на сервере 1 админ и заходил я под ним примерно пол года назад, до момента тревожного звонка да и нашёл я его в папке загрузок у юзера.

Искал я в интернетах и никто не сталкивался с таким. 2 дня медитации дали свои плоды и я всё же победил его.

1. Удаляем службу HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\4nationcal\

2. Вирус вырубает службы, так что включаем обратно и ставим автовлючение

-DNS-клиент (DNS Client);

-Обнаружение SSDP (SSDP Discovery);

-Публикация ресурсов обнаружения функции (Function Discovery Resource Publication);

-Узел универсальных PNP-устройств (UPnP Device Host).

3.Выключаем службу Агент политики IpSec и на конец появляется сетевой доступ.

Никогда с таким не сталкивался и нигде не нашел как удалить, так что может кому пригодится.

P.S. Мой первый пост, не судите строго

ну ты это. покури теневое копирование и знакомство с шифровальщиками для тебя будет не очень жестоким.

у меня на есть Qnap-хранилище, туда бэкапы льются. На серверах самое важное 1с базы, а систему восстановить не проблема

лол, что ты будешь делать с зашифрованными архивами? =)

Архивы делаются каждый день, qnap на линуксе. Я уже сталкивался с шифровальщиком и всё норм пока. тьфу тьфу тьфу

Спасибо. очень выручил. столкнулся с такой-же бедой, после того как дал доступ не обновлённому серваку в интернет. сразу эта гадость прилетела.

Присоединяюсь к благодарностям. Очень выручил. До прочтения не допускал что мои проблемы могут быть связаны с вирусом, так как никто кроме меня не имел доступа. Однако прочитав полез смотреть загрузку процессора и службы и спалил в системной папке IMA исполняемый файл svchost запущенный как служба. Служба эта имела непримечательное название и не имела описания, терялась среди созданных служб сторонних программ с английскими названиями. Ну а дальше аналогично, вырубаем зловредную службу, переименовываем/удаляем файл, проверяем службы по списку.

Первый компьютерный вирус

Поведаю вам о одном из первых вирусов - ELK Cloner , который был обнаружен на компьютерах пользователей, а не в системе, на которой был разработан.
Написан он был 15-летним школьником Ричардом Скрента для Apple II

Вирус не влиял на работу компьютера, за исключением наблюдения за доступом к дискам. Когда происходил доступ к незаражённой дискете, вирус копировал себя туда, заражая её, медленно распространяясь с диска на диск.

Вирус не причинял вреда намеренно, хотя он мог повредить диски , затирая резервные дорожки диска вне зависимости от их содержимого. После каждой 50-й загрузки вирус выводил на экран стишок:

ELK CLONER: THE PROGRAM

WITH A PERSONALITY

IT WILL GET ON ALL YOUR

IT WILL INFILTRATE YOUR

IT WILL STICK TO YOU LIKE

IT WILL MODIFY RAM TOO

SEND IN THE CLONER!

Elk Cloner: программа с индивидуальностью

Она проникнет во все ваши

Она внедрится в ваши чипы

Она прилипнет к вам как

Она даже изменит

оперативную память
Cloner выходит на охоту

Криптоджекинг. Разбор случайного вируса-майнера под Windows.

Как-то раз на неделе обратился ко мне коллега из офиса, говорит, что его домашний компьютер вдруг начинает жутко лагать, самопроизвольно перезагружается, и т.п.
Я взялся посмотреть, что же это было.
Первым делом была проверена автозагрузка процессов и служб, как обычно делает большинство "мастеров", думая, что они при отключении там чего-либо полностью излечили компьютер от вирусов. Может быть раньше, со всякими WinLocker'ами или рекламными баннерами этот трюк и прокатывал, но времена меняются, и теперь технологии другие. В винде любых версий есть старые дыры, но вполне функциональные. Итак, первое, что видно при включении ЭВМ - открывается вот такое вот окошко (скрин не было сделать возможности с него, звиняйте, скрины пойдут дальше):

В автозагрузке, повторюсь всё в порядке:

После того, как компьютер был штатно заштопан двумя разными антивирусами, возникла идея исследовать этот файл, который система начала загружать. Но не всё оказалось так просто.
Итак, дальше расписано по шагам, каким образом работает этот вирус, и к какому конечному результату это приводит.

Шаг 0. Попадание первичного файла в систему.
Для того, чтобы в системе MS Windows инициировался какой-либо процесс, что-то должно его запускать. В первых версиях вирусов - ярлык вируса просто кидался в папку автозагрузки программ, в Windows 7 она находится по адресу:
%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
Потом вирусы стали добавляться в ветви реестра [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] и то же самое в разделе HKEY_LOCAL_MACHINE, откуда удалить их было уже не так просто. Но оказалось, что в автозагрузку эти файлы можно и не добавлять, чтобы не провоцировать простенькие антивирусы. В системе существует "Планировщик заданий" (mmc.exe), куда прекрасно можно добавить задачу автозапуска какой-либо программы, и даже целую исполняемую часть командной строки (сценарий):

В таком случае на действия начинают реагировать лишь единицы антивирусов, никакие а**сты, макаффи и т.п. фри версии антивирей туда по большей части даже не суются.
Итак, я попытался зайти на тот адрес из окна (http://f******r.com/) в веб-браузере. Но, попробовав ввести тот адрес, да и вообще, какой бы адрес я не открывал, я получал заглушку на nginx:

Дальше я стал копать и выяснил, что бирюзовое окно - это рабочее окно системы BITS (Background Intelligent Transfer Service). Изначально он предназначен для быстрой передачи данных по специальному протоколу через команды приложений. Как оказалось, именно этот протокол (с 2016 года, по версии xakep.ru) стал часть использоваться для загрузки вирусов. Поэтому я подключился через этот протокол, используя команды PowerShell по оригинальному адресу:

И, вуаля, я получил какой-то файл, весом гораздо больше пустой веб-страницы:

Видимо, на сервере специальным образом настроены порты, чтобы при обращении именно от BITS был отправлен экземпляр этого файла. При этом, как выяснилось, неважно, какое название у архива - всегда будет получен тот же файл. Давайте исследуем его.
Шаг 1: Первичный файл загружен. Что это?
Я открыл файл в Hex-редакторе, чтобы распознать тип. Начинается он с MZP, значит файл исполняемый. В файле была обнаружена сигнатура Inno Setup, стало ясно, что это - файл инсталлятора чего-либо:

Шаг 2. Вместо установки этого файла я воспользовался утилитой Inno Unpacker, которая дала мне следующие файлы, содержащиеся внутри проекта:

Собственно, как оказалось, программа никаких файлов в себе не содержала - только скрипт install_script с описанием установщика, а так же скомпилированный фрагмент кода, выполненного на паскале. Вот файл скрипта:

Обратите внимание на параметры [Setup], а именно название программы, и выходное имя файла OutputBasenameFile (оно совпадает кое с чем на первой картинке).
Шаг 3. Также неизвестным оставался код программы CompiledCode.bin. Для того, чтобы расшифровать его, я воспользовался декомпилятором паскаль-фрагмента кода:

Шаг 4. Стало ясно, что данные внутри кода немного зашифрованы (обфусцированы) от посторонних глаз. Немного видоизменив код, я интерпретировал его на FreePascal'е, и получил следующий результат:

Внутри инсталлятора (MSICEE2.msi) оказались два файла: unzip.exe и vcruntime140.lib.zip. Во втором архиве ещё два файла, но он запаролен. Для начала я исследовал файл unzip.exe:

Оказалось, что этот файл является неизмененной копией утилиты для систем Windows 2005 года, которая называется "Info-Zip UnZip", и являющейся простым распаковщиком zip-файлов. Вот, что будет, если её запустить:

Шаг 6. В одной из строчек виден пароль от архива: IBM644. Но обычный архиватор этот пароль не принимает - распаковываются файлы только оригинальным UnZip'ом при помощи этой команды.
Все файлы внутри архива - исполняемые библиотеки для системы типа dll или lib. Написаны они на C, декомпилировать их я смысла не видел. Возможно, именно в них содержится блок, занимающийся копированием вируса в системе, но так глубоко я их не копал. В песочнице после их регистрации в системе (папка TEMP) появился следующий файл: [612A9A]. Смотрим, что у него внутри:

Этот файл представляет собой json - конфиг, в котором видно ключевое слово CryptoNight и URL, логин и пароль от майнинг-сервера. Данный майнер майнит монету "Monero". Данный файл подозрительно совпадает с конфиг-файлом для Windows-версии майнера "****Rig":

Скормив этот конфиг исполняемому файлу майнера (оконной версии), загруженному из интернета, действительно компьютер получил настоящую "работу", и видео при этом стало жутко лагать. В оригинальном конфиге прописано также исполнение без gui (фоновым процессом - никаких окон).

Собственно, это и есть конечный результат. Помайнил 10 секунд для него, чтобы сделать вам скрин, надеюсь, что вырученных за это время денег автору хватит как минимум на два билета до Канарских островов. Итого имеем сложный файл, прописывающий себя в нескольких местах системы, работающий на языках Pascal и C++, в итоге приводящий к запланированному запуску майнера. Берегите свои компьютеры. С вами был Kekovsky, специально для pikabu.