-
Path: news-archive.icm.edu.pl!agh.edu.pl!news.agh.edu.pl!newsfeed2.atman.pl!newsfeed.
atman.pl!goblin2!goblin1!goblin.stu.neva.ru!newsfeed.neostrada.pl!unt-exc-01.ne
ws.neostrada.pl!unt-spo-b-01.news.neostrada.pl!news.neostrada.pl.POSTED!not-for
-mail
Subject: Re: Dziwny plik
Newsgroups: pl.comp.pecet
References: <14fgj8imex8hh$.1vzjhweghaw7n$.dlg@40tude.net>
<k...@4...com>
<hzhxc9enjl5v$.1kb6u0uq0reo$.dlg@40tude.net>
From: Robert Winkler <n...@n...org>
Date: Sun, 31 Jan 2016 20:54:48 +0100
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:38.0) Gecko/20100101
Thunderbird/38.5.1
MIME-Version: 1.0
In-Reply-To: <hzhxc9enjl5v$.1kb6u0uq0reo$.dlg@40tude.net>
Content-Type: text/plain; charset=utf-8; format=flowed
Content-Transfer-Encoding: 8bit
Lines: 38
Message-ID: <56ae6683$0$646$65785112@news.neostrada.pl>
Organization: Telekomunikacja Polska
NNTP-Posting-Host: 89-70-188-240.dynamic.chello.pl
X-Trace: 1454270084 unt-rea-b-01.news.neostrada.pl 646 89.70.188.240:64571
X-Complaints-To: a...@n...neostrada.pl
Xref: news-archive.icm.edu.pl pl.comp.pecet:1247513
[ ukryj nagłówki ]W dniu 31.01.2016 o 19:48, ...:::WISKOLER:::... pisze:
> Na grupie pl.comp.pecet, osobnik mieniący się nazwą Olaf Frikiov
> Skiorvensen naskrobał(a):
>
>> Tym wyśledzisz co ten plik zapisuje, potem tylko zostaje ubić dziada.
>
> Ciężko było ale w końcu namierzyłem dziada. Virustotal niczego nie zeznał
> na temat tego pliku mimo intensywnego przesłuchania. Taki sam plik mam w
> c:\users\MojaNazwa\AppData\Roaming\package.vbs i tutaj jest on normalnie
> widoczny, bo jak już jest skopiowany na pendriva to jako ukryty i
> systemowy. Wg Unlockera procesem który go tworzy jest umiejscowiony w
> c:\windows\system32\WScript.exe
> Virustotal zeznaje iz jest to czysty plik dostarczony przez wielkiego brata
> M$, no i teraz mam dylemat - skasować dziada? Po jakiego diabła kopiuje mi
> plik *.vbs za każdym włożeniem do portu USB?
>
WScript.exe to element Windows Scripting Host
Jest to element systemu pozwalający na uruchamianie skryptów
napisanych w VBScript, JavaScript,
a dzięki swojej otwartej architekturze, także innych języków
które można doinstalowywać.
Sam plik c:\users\MojaNazwa\AppData\Roaming\package.vbs
jest wirusem, korzystającym z tego systemowego mechanizmu
i to tego pliku trzeba się pozbyć.
Tyle, że jeśli twórca wirusa był inteligentny
to poza plikiem package.vbs jeszcze "coś"
jakiś dodatkowy program, który sprawdza czy package.vbs
znajduje się na dysku i przywraca go.
Proces WScript.exe możesz spokojnie ubić
i spróbować skasować package.vbs
ale gdy będziesz to robił, to monitoruj dysk
na wypadek gdyby coś starało się go odtworzyć.
--
Robert
Następne wpisy z tego wątku
- 01.02.16 16:25 ...:::WISKOLER:::...
- 02.02.16 11:15 Stregor
- 02.02.16 15:18 Olaf Frikiov Skiorvensen
Najnowsze wątki z tej grupy
- soft dla detekcji stanu DMA (on,czy off)
- jak w chrome (forku chrome) wyznaczyc katalog profilu w dowolnym miejscu?
- Dziwnie padający Seagate
- Kwestia UPSa i elektryki tegoż
- Drukowanie bezprzewodowe - jaki interface ?
- Libre Office Krok Po Kroku - Komentarz
- Dysk startowy z dosem - ktokolwiek widział, ktokolwiek zna?
- Sprzedawanie zaszyfrowanych filmów na płytach Blu-Ray bez kluczy deszyfrujących
- Re: Drugi ekran na Androidzie
- Vmware update
- Access point na zewnątrz
- dodanie karty graf zawiesza komp
- Jak wybrać laptopa?
- Router i USENET
- Cyjanek kontra powietrze w kontekście (; druku pieniędzy... ;)
Najnowsze wątki
- 2024-11-11 Wyważanie kół rowerowych
- 2024-11-11 Kosz, gdzie??
- 2024-11-11 Coraz mniej ludzi robi prawo jazdy
- 2024-11-11 Opole => SAP HANA Cloud Dev / Data Engineer <=
- 2024-11-11 Warszawa => Spedytor Międzynarodowy <=
- 2024-11-11 Lublin => Senior PHP Developer <=
- 2024-11-11 Marki => Senior PHP Symfony Developer <=
- 2024-11-11 Chrzanów => Team Lead / Tribe Lead FrontEnd <=
- 2024-11-11 Gliwice => Specjalista ds. public relations <=
- 2024-11-11 Gdańsk => Kierownik Działu Spedycji Międzynarodowej <=
- 2024-11-11 Gdańsk => Head of International Freight Forwarding Department <=
- 2024-11-11 Warszawa => Sales Development Representative (in German) <=
- 2024-11-11 Marsz niepodległości
- 2024-11-08 Belka
- 2024-11-09 pierdolec na punkcie psa