Z samego linku już ewidentnie widać że to jakaś podpucha. Nie mniej, po ściągnięciu tego pliku mój Symantec również nic nie krzyczy.
Do końca analizy tego pliku zostało mi jeszcze ~5 minut. Jak wygląda sytuacja z możliwością dokonania tych logów z programów które podałem?
EDIT:
ComboFix odpada, i na przyszłość ogólnie odradzam jego używanie - łatwo sobie narobić bigosu.
EDIT 2:
Dobra, analiza pliku od ciebie ukończona.
Okazuje się że pomimo iż nasze antywirusy nic nie wykrywają, tak na prawdę siedzi w tym pewno bydle, a mianowicie Trojan-Downloader.Win32.FraudLoad.
Co ciekawe trojan ten nie dokonuje żadnych modyfikacji jeśli chodzi o rozmiar folderu, nie mniej należy je również wyrzucić.
Trojan o którym mowa ściąga również z internetu swoich "kumpli" soft.exe, 11.exe i 22.exe. Ściąga także plik "4.JPG", ale nie ma w nim nic groźnego (ot obrazek prezentu). Dodam jeszcze tylko że w pliku 22.exe wykryto Gen.Variant.FakeAV.
Nie chciałem tego pisać na końcu, dlatego w tym momencie powiem że jeśli masz taką możliwość - użyj przywracania systemu. Radzę ci to ze względu na to że wirus zmodyfikował 3 pliki:
MountPointManager
PIPE\lsarpc
PIPE\wkssvcI szczerze nie mam pojęcia co on w nich zmodyfikował.Wracając do możliwego rozwiązania problemu - wejdź do rejestru, a mianowicie do: (HKU jest skrótem od HKEY_USERS.)
HKU\S-1-5-21-842925246-1425521274-308236825-500\Software\Microsoft\Windows\ShellNoRoam\MUICache\A następnie usuń klucze o wartościach 11, 22, i soft.Następnie musisz sprawdzić swoją pamięć tymczasowej, i wyrzucić 4 ściągnięte tam pliki, w wypadku mojej analizy są to ścieżki:
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\11.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\22.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\4.JPG
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\soft.exe
Podpowiedz: Jak będziesz miał problemy z wejściem do pamięci tymczasowej, zrób to w ten sposób: Wciśnij przycisk WINDOWS + R, a następnie wpisz %temp% i zatwierdź enterem.Następnie uruchom ponownie komputer.
W tym momencie przydałby się również te logi o które prosiłem, aby stwierdzić czy wirus został wyeliminowany.
Nie mniej, nie powinno to nic wnieść w temacie dziwnego rozmiaru folderu, i ponawiam tu moje pytanie: