Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

czy to wirus plik .xml okazał sie .exe

ariokina 24 Sie 2015 13:57 1053 10
  • #1 24 Sie 2015 13:57
    ariokina
    Poziom 5  

    Witam wszystkich
    z góry przepraszam za niejasny temat ale jestem mocno początkujący w tym temacie.
    Dziś, po zakupach na allegro, dostałem maila pt. "kurier" w środku znajdował się plik o nazwie "dokumenty zwrotne(xml).xml". Sądząc że są to dokumenty dotyczące aukcji, ściągnąłem i otworzyłem plik, po otwarciu nic się nie stało. We właściwościach rozszerzenie jest widoczne jako .exe a sam mail przyszedł jakąś godzinę przed dokonaniem zakupu. Sądzę że jest to jakiś wirus lub inny keylogger, zdarza mi się grać w gry mmo. Bardzo dziękuje za pomoc

    0 10
  • #2 24 Sie 2015 14:04
    kindlar
    Poziom 38  

    To może być program szyfrujący dane na dysku. Poczytaj o fałszywych e-malach z poczty polskiej.

    0
  • #3 24 Sie 2015 14:26
    ariokina
    Poziom 5  

    a są jeszcze inne opcje? Mail z którego wysłano plik jest powiązany nazwą z grą mmo w którą mam przyjemność okazyjnie grać do dłuższego czasu, przypuszczam że może to być keyloger. Jest może jakiś sposób aby to sprawdzić?

    0
  • Pomocny post
    #7 24 Sie 2015 15:12
    Kolobos
    Spec od komputerów

    Doszlo do infekcji jak widac:
    HKU\S-1-5-21-3183270048-2252803029-1860483952-1001\...\Run: [0A5AD683] => C:\Users\Jarek\AppData\Roaming\0A5AD683\bin.exe [152378 2015-08-24] ()
    oraz katalog:
    2015-08-24 13:13 - 2015-08-24 13:13 - 00000000 ___HD C:\Users\Jarek\AppData\Roaming\0A5AD683

    Plik nie jest aktywny, wiec nawet jezeli szyfruje to zapewne uruchomi sie dopiero po ponownym uruchomieniu komputera.

    Obok frst.exe utworz plik fixlist.txt z zawartoscia:
    CloseProcesses:
    HKU\S-1-5-21-3183270048-2252803029-1860483952-1001\...\Run: [0A5AD683] => C:\Users\Jarek\AppData\Roaming\0A5AD683\bin.exe [152378 2015-08-24] ()
    2015-08-24 13:13 - 2015-08-24 13:13 - 00000000 ___HD C:\Users\Jarek\AppData\Roaming\0A5AD683

    W FRST wybierz Fix.

    1
  • #8 24 Sie 2015 15:21
    ariokina
    Poziom 5  

    Po wykonaniu fixa moge mieć pewność że komputer jest już czysty? Jakie rodzaju był to program? jeden z tych szyfrujących? Bardzo dziękuje za dotychczasową pomoc :)

    0
  • #9 24 Sie 2015 15:40
    Kolobos
    Spec od komputerów

    Nie wiadomo, nazwy sa losowe.

    Dla pewnosci daj nowe logi z FRST, ze skanowania.

    0
  • #11 25 Sie 2015 09:15
    Kolobos
    Spec od komputerów

    > Czyli nie ma możliwości ustalenia co ten wirus miał za zadanie zrobić?

    Usuniete pliki masz w C:\FRST mozesz odszukac bin.exe i sprawdzic go na jotti lub virustotal.


    Wykonaj jeszcze taki fixlist.txt:
    HKLM-x32\...\Run: [] => [X]
    HKU\S-1-5-21-3183270048-2252803029-1860483952-1001\...\Run: [AdobeBridge] => [X]
    BootExecute:
    GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
    CHR HKU\S-1-5-21-3183270048-2252803029-1860483952-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [kfecnpmgnlnbmipaogfhoacoioifjgko] - http://clients2.google.com/service/update2/crx
    S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X]
    S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]
    S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
    S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
    S3 SBIOSIO; \??\C:\Users\Jarek\AppData\Local\Temp\__Samsung_Update\SBIOSIO64.sys [X]
    2015-08-24 14:40 - 2015-05-08 09:33 - 00000000 ____D C:\AdwCleaner
    EmptyTemp:

    Po wszystkim usun katalog C:\FRST i to wszystko.

    0