eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plGrupypl.comp.pecetDziwny plikRe: Dziwny plik
  • Path: news-archive.icm.edu.pl!agh.edu.pl!news.agh.edu.pl!newsfeed2.atman.pl!newsfeed.
    atman.pl!goblin2!goblin1!goblin.stu.neva.ru!newsfeed.neostrada.pl!unt-exc-01.ne
    ws.neostrada.pl!unt-spo-b-01.news.neostrada.pl!news.neostrada.pl.POSTED!not-for
    -mail
    Subject: Re: Dziwny plik
    Newsgroups: pl.comp.pecet
    References: <14fgj8imex8hh$.1vzjhweghaw7n$.dlg@40tude.net>
    <k...@4...com>
    <hzhxc9enjl5v$.1kb6u0uq0reo$.dlg@40tude.net>
    From: Robert Winkler <n...@n...org>
    Date: Sun, 31 Jan 2016 20:54:48 +0100
    User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:38.0) Gecko/20100101
    Thunderbird/38.5.1
    MIME-Version: 1.0
    In-Reply-To: <hzhxc9enjl5v$.1kb6u0uq0reo$.dlg@40tude.net>
    Content-Type: text/plain; charset=utf-8; format=flowed
    Content-Transfer-Encoding: 8bit
    Lines: 38
    Message-ID: <56ae6683$0$646$65785112@news.neostrada.pl>
    Organization: Telekomunikacja Polska
    NNTP-Posting-Host: 89-70-188-240.dynamic.chello.pl
    X-Trace: 1454270084 unt-rea-b-01.news.neostrada.pl 646 89.70.188.240:64571
    X-Complaints-To: a...@n...neostrada.pl
    Xref: news-archive.icm.edu.pl pl.comp.pecet:1247513
    [ ukryj nagłówki ]

    W dniu 31.01.2016 o 19:48, ...:::WISKOLER:::... pisze:
    > Na grupie pl.comp.pecet, osobnik mieniący się nazwą Olaf Frikiov
    > Skiorvensen naskrobał(a):
    >
    >> Tym wyśledzisz co ten plik zapisuje, potem tylko zostaje ubić dziada.
    >
    > Ciężko było ale w końcu namierzyłem dziada. Virustotal niczego nie zeznał
    > na temat tego pliku mimo intensywnego przesłuchania. Taki sam plik mam w
    > c:\users\MojaNazwa\AppData\Roaming\package.vbs i tutaj jest on normalnie
    > widoczny, bo jak już jest skopiowany na pendriva to jako ukryty i
    > systemowy. Wg Unlockera procesem który go tworzy jest umiejscowiony w
    > c:\windows\system32\WScript.exe
    > Virustotal zeznaje iz jest to czysty plik dostarczony przez wielkiego brata
    > M$, no i teraz mam dylemat - skasować dziada? Po jakiego diabła kopiuje mi
    > plik *.vbs za każdym włożeniem do portu USB?
    >

    WScript.exe to element Windows Scripting Host
    Jest to element systemu pozwalający na uruchamianie skryptów
    napisanych w VBScript, JavaScript,
    a dzięki swojej otwartej architekturze, także innych języków
    które można doinstalowywać.

    Sam plik c:\users\MojaNazwa\AppData\Roaming\package.vbs
    jest wirusem, korzystającym z tego systemowego mechanizmu
    i to tego pliku trzeba się pozbyć.
    Tyle, że jeśli twórca wirusa był inteligentny
    to poza plikiem package.vbs jeszcze "coś"
    jakiś dodatkowy program, który sprawdza czy package.vbs
    znajduje się na dysku i przywraca go.

    Proces WScript.exe możesz spokojnie ubić
    i spróbować skasować package.vbs
    ale gdy będziesz to robił, to monitoruj dysk
    na wypadek gdyby coś starało się go odtworzyć.

    --
    Robert

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj


Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: