Как бороться с неизвестным науке вирусом?
Jan. 19th, 2016 04:38 pm![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
andvari-loki.livejournal.com posting in ![[community profile]](https://www.dreamwidth.org/img/silk/identity/community.png){kind=small}
useful_faqТак уж вышло, что по почте был получен и кликнут файлик с расширением scr и размером около 1.7 МБ.
Будучи распакован, он явил нам несколько папок вроде .rsrc, .reloc, manifest, icon, version.txt, а также файл .text , который занимает более 90% всего объёма.
В файле version.txt есть в частности такие строки:
Но для чего-то же этот файл был сделан. Там даже иконки есть, чтобы маскировать его под документ PDF.
Что посоветуете сделать? Есть универсальные средства, которые покажут, что эта кака делает, какие изменения вносит в файлы и т д?
Будучи распакован, он явил нам несколько папок вроде .rsrc, .reloc, manifest, icon, version.txt, а также файл .text , который занимает более 90% всего объёма.
В файле version.txt есть в частности такие строки:
VALUE "Comments", ""
VALUE "CompanyName", ""
VALUE "FileDescription", ""
VALUE "FileVersion", "1.0.0.0"
VALUE "InternalName", "حليشل.exe"
VALUE "LegalCopyright", ""
VALUE "LegalTrademarks", ""
VALUE "OriginalFilename", "حليشل.exe"
VALUE "ProductName", ""
VALUE "ProductVersion", "1.0.0.0"
VALUE "Assembly Version", "1.0.0.0"
Пока сюда не вставил, имя екзешки отображалось в виде квадратиков в блокноте.
Вирустотал показывает
Ну, т.е. как я понял, два каких-то непонятных, скорее всего не опысных вируса, которые не распознаются 99% антивирусников. Пока сюда не вставил, имя екзешки отображалось в виде квадратиков в блокноте.
Вирустотал показывает
| Qihoo-360 | HEUR/QVM03.0.Malware.Gen | 20160119 |
| Rising | PE:Malware.RDM.17!5.17 [F] |
20160119 |
Но для чего-то же этот файл был сделан. Там даже иконки есть, чтобы маскировать его под документ PDF.
Что посоветуете сделать? Есть универсальные средства, которые покажут, что эта кака делает, какие изменения вносит в файлы и т д?
no subject
Date: 2016-01-20 08:33 am (UTC)Ну и да - почитать вдумчиво таскменеджер и все сомнительные имена процессов поспрашивать у гугла. Автозагрузку проверить тоже не помешает. Если ничего не нашлось - радуйтесь.
Скорее всего, чем вам могут насолить - это вставить какую-то дрянь в стартовую страницу браузера. Это будет неприятно, но практически безвредно. Плохо то, что именно этот вариант вычищается сложнее других... Надо будет поискать наиболее удобный для вас мануал (их десятки)
no subject
Date: 2016-01-20 08:49 am (UTC)