Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Czy ten plik to groźny wirus

jan.panewka 13 Lis 2018 22:25 246 6
  • #1 13 Lis 2018 22:25
    jan.panewka
    Poziom 3  

    Znalazłem na śmietniku jakiś odtwarzacz MP3 w kształcie pendriwa i tamten plik exe miał ikonę folderu to go dwa razy kliknąłem żeby otworzyć i komputer się tak zachował jakby bez reakcji ale potem go przeskanowałem na stronie

    Code:
    https://www.virustotal.com/#/home/upload

    Czy ten plik to groźny wirus Czy ten plik to groźny wirus

    Cytat:
    MD5 b966d159cf519e595b4fb98ed9fb3bff
    SHA-1 504b08d12384dbc02f28207823282558c412f5b6
    Authentihash 07f827cc511fe9c35ca0c04a3143bc3a2022f5c2caba0c9b8315355ca49c6218
    Imphash afc077b3c2f8782d9a7d278fff656cae
    File Type Win32 EXE
    Magic PE32 executable for MS Windows (GUI) Intel 80386 32-bit
    SSDeep 768:7ZXC/bZCJrRvy5yH9xsK0df/sBoTe+bs+i:hcigK0dl
    TRiD Win32 Executable Microsoft Visual Basic 6 (88.6%)
    Win32 Executable (generic) (4.8%)
    OS/2 Executable (generic) (2.1%)
    Generic Win/DOS Executable (2.1%)
    DOS Executable Generic (2.1%)
    File Size 56 KB


    Cytat:
    File System Actions
    Files Opened
    C:\Users\ADMINI~1\AppData\Local\Temp\~DF7AB73E8E731A35CF.TMP
    C:\
    Files Written
    C:\Users\ADMINI~1\AppData\Local\Temp\~DF7AB73E8E731A35CF.TMP
    Registry Actions
    Registry Keys Set
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState\fullpath
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\TempCom
    Process And Service Actions
    Shell Commands


    Cytat:
    Comments

    PayloadSecurity

    2018-08-14


    submitname:"test.exe.bin"
    falcon-threatscore:100/100
    source:https://www.hybrid-analysis.com/sample/61ab7198785fc2cfe56be67be21375570156d733e590a228f106fb4bacc1ea5b?environmentId=100


    tommyklab

    2012-10-11

    #malware


    Uruchomiłem go na innym komputerze z Windowsem 7 Ultimate SP1 64 bitowym
    Czy to groźny witus i czy komputer jest zainfekowany
    Czy gdyby sformatować partycje systemową z windowsem to czy by było po wirusie czy trzeba cały dysk formatować ale komputer się zachowuje jakby nic się nie stało

    Miałem go napisać w innym dziale ale brakowało punktów
    Czy ten plik to groźny wirus

    0 6
  • #2 13 Lis 2018 22:30
    Kolobos
    Spec od komputerów

    Nie masz punktow to uzbieraj, zamiast zasmiecac forum!

    Grozny raczej nie, wirus to tez nie jest, ale plik bez watpienia jest jakims robakiem/trojanem. Nie zmienia to faktu, ze warto zamiescic w zalaczniku logi z FRST, do tego wykonac skan przy pomocy mbam i usunac skladniki tego robaka.

    0
  • #3 13 Lis 2018 22:31
    krzysztof212
    Poziom 18  

    Do usuwania możesz uzyc np. http://www.majorgeeks.com/files/details/unlocker.html

    Jednak w przypadku szkodliwych programów, lepiej będzie jak zamieścisz w załączniku logi z FRST (Frst.txt oraz Addition.txt):
    http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/

    Poza tym kolego przenieś temat tu
    https://www.elektroda.pl/rtvforum/forum217.html

    0
  • #4 13 Lis 2018 22:36
    jan.panewka
    Poziom 3  

    Czy jest konieczne formatowanie partycji systemowej i ponowna instalacja systemu przy założeniu że logi by były czyste
    Drugi komputer mam na działce na wsi 3 kilometry stąd to teraz nie mam jak skanu zrobić
    Na nowym komputerze tylko go w folderze obejrzałem ale na niego nie klikałem to chyba by się w tle nie uruchomił

    Dodano po 1 [minuty]:

    Jak się przenosi tematy do innego działu

    Dodano po 1 [minuty]:

    Gdybym go na wirtualnym Windowsie uruchomił w programie VMware Workstation Pro 15.0.1 Build 10737736 i potem wykonał skan z takiego samego windowsa co wtedy na nim go uruchomiłem to czy takie coś by było dobre

    0
  • #6 13 Lis 2018 23:26
    jan.panewka
    Poziom 3  

    FRST

    Code:
    https://www.elektroda.pl/rtvforum/download.php?id=935668

    Code:
    https://www.elektroda.pl/rtvforum/download.php?id=935669


    Dodano po 13 [minuty]:

    Znalazłem coś w google po wpisaniu sumy md5 kontrolnej tego wirusa 504b08d12384dbc02f28207823282558c412f5b6
    Code:
    free4web.pl/PrintNews/102752,341059,

    [qoute]

    Cytat:
    *W32/Nethood.worm jest robakiem którego głównym zadaniem jest modyfikowanie ustawień przeglądarki internetowej Internet Explorer. Samodzielnie przeważnie nie replikuje się, rozpowszechniany może być wszelkimi mozliwymi sposobami pozwalającymi na przesyłanie plików, najczęsciej bedą to: poczta elektroniczna, komunikatory, złosliwe strony internetowe, kanały IRC. Instalacja nastepuje po uruchomieniu szkodliwego pliku przez nieświadomego użytkownika systemu pod pozorem pożytecznego programu lub dodatku. Czasem może być jego kopia skopiowana na dyski oraz udziały sieciowe, czasem na foldery programów p2p. Działa na systemach: Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000.
    Dane pliku:
    MD5 - B966D159CF519E595B4FB98ED9FB3BFF
    SHA - 504B08D12384DBC02F28207823282558C412F5B6
    File Size - 57344 bytes
    Inne nazwy:
    Kaspersky - Email-Worm.Win32.Rays
    Norman - W32/Traxg.B@mm
    Bit Defender - Worm.Generic.75778
    Uruchomiony tworzy plik:
    %WinDir%\Fonts\47790.com (hidden).
    Modyfikuje rejestr dodając wpis:
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "TempCom" = "%WinDir%\FONTS\47790.com"
    oraz zmieniajac wartości rejestrów na:
    [HKEY_USERS\S-1-5-21-1454471165-926492609-839522115-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
    "Hidden" = "0"
    [HKEY_USERS\S-1-5-21-1454471165-926492609-839522115-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
    "HideFileExt" = "1"
    [HKEY_USERS\S-1-5-21-1454471165-926492609-839522115-500\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState]
    "FullPath" = "1"
    Usuwanie:
    -wyłącz przywracanie systemu
    -zaktualizuj bazę definicji wirusów
    -uruchom system w trybie awaryjnym
    -wykonaj pelne skanowanie systemu programem antywirusowym
    -wyczyść rejestr za pomoca programu do czyszczenia rejestru
    -po ponownym uruchomieniu systemu w trybie normalnym można włączyć przywracanie systemu


    MD5 b966d159cf519e595b4fb98ed9fb3bff
    SHA-1 504b08d12384dbc02f28207823282558c412f5b6
    idealnie się zgadzają tam co zacytowałem

    Dodano po 2 [minuty]:

    Cytat:
    Działa na systemach: Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000.

    Ja mam Windows 7 Ultimate SP1 64 bitowy czyli mam zawirusowany czy nie

    0
  • #7 13 Lis 2018 23:32
    Kolobos
    Spec od komputerów

    Nic ciekawego, widac, ze dodal wymieniony na stronie wpis:
    HKLM-x32\...\Run: [TempCom] => C:\WINDOWS\FONTS\57BD5.com [57344 2010-05-06] (gy)


    Fixlist:
    C:\WINDOWS\FONTS\57BD5.com
    HKLM-x32\...\Run: [TempCom] => C:\WINDOWS\FONTS\57BD5.com [57344 2010-05-06] (gy)

    0