W dniu 31.01.2016 o 19:48, ...:::WISKOLER:::... pisze:
Na grupie pl.comp.pecet, osobnik mieniący się nazwą Olaf Frikiov
Skiorvensen naskrobał(a):
Tym wyśledzisz co ten plik zapisuje, potem tylko zostaje ubić dziada.
Ciężko było ale w końcu namierzyłem dziada. Virustotal niczego nie zeznał
na temat tego pliku mimo intensywnego przesłuchania. Taki sam plik mam w
c:\users\MojaNazwa\AppData\Roaming\package.vbs i tutaj jest on normalnie
widoczny, bo jak już jest skopiowany na pendriva to jako ukryty i
systemowy. Wg Unlockera procesem który go tworzy jest umiejscowiony w
c:\windows\system32\WScript.exe
Virustotal zeznaje iz jest to czysty plik dostarczony przez wielkiego brata
M$, no i teraz mam dylemat - skasować dziada? Po jakiego diabła kopiuje mi
plik *.vbs za każdym włożeniem do portu USB?
WScript.exe to element Windows Scripting Host
Jest to element systemu pozwalający na uruchamianie skryptów
napisanych w VBScript, JavaScript,
a dzięki swojej otwartej architekturze, także innych języków
które można doinstalowywać.
Sam plik c:\users\MojaNazwa\AppData\Roaming\package.vbs
jest wirusem, korzystającym z tego systemowego mechanizmu
i to tego pliku trzeba się pozbyć.
Tyle, że jeśli twórca wirusa był inteligentny
to poza plikiem package.vbs jeszcze "coś"
jakiś dodatkowy program, który sprawdza czy package.vbs
znajduje się na dysku i przywraca go.
Proces WScript.exe możesz spokojnie ubić
i spróbować skasować package.vbs
ale gdy będziesz to robił, to monitoruj dysk
na wypadek gdyby coś starało się go odtworzyć.
--
Robert
|