W dniu 31.01.2016 o 19:48, ...:::WISKOLER:::... pisze:
> Na grupie pl.comp.pecet, osobnik mieniący się nazwą Olaf Frikiov
> Skiorvensen naskrobał(a):
>
>> Tym wyśledzisz co ten plik zapisuje, potem tylko zostaje ubić dziada.
>
> Ciężko było ale w końcu namierzyłem dziada. Virustotal niczego nie zeznał
> na temat tego pliku mimo intensywnego przesłuchania. Taki sam plik mam w
> c:\users\MojaNazwa\AppData\Roaming\package.vbs i tutaj jest on normalnie
> widoczny, bo jak już jest skopiowany na pendriva to jako ukryty i
> systemowy. Wg Unlockera procesem który go tworzy jest umiejscowiony w
> c:\windows\system32\WScript.exe
> Virustotal zeznaje iz jest to czysty plik dostarczony przez wielkiego brata
> M$, no i teraz mam dylemat - skasować dziada? Po jakiego diabła kopiuje mi
> plik *.vbs za każdym włożeniem do portu USB?
>

WScript.exe to element Windows Scripting Host
Jest to element systemu pozwalający na uruchamianie skryptów
napisanych w VBScript, JavaScript,
a dzięki swojej otwartej architekturze, także innych języków
które można doinstalowywać.

Sam plik c:\users\MojaNazwa\AppData\Roaming\package.vbs
jest wirusem, korzystającym z tego systemowego mechanizmu
i to tego pliku trzeba się pozbyć.
Tyle, że jeśli twórca wirusa był inteligentny
to poza plikiem package.vbs jeszcze "coś"
jakiś dodatkowy program, który sprawdza czy package.vbs
znajduje się na dysku i przywraca go.

Proces WScript.exe możesz spokojnie ubić
i spróbować skasować package.vbs
ale gdy będziesz to robił, to monitoruj dysk
na wypadek gdyby coś starało się go odtworzyć.

--
Robert