"C:\WINDOWS\system32\Paint.exe" -autocheck

добавляется в реестр каждый раз, когда его удаляют. Это как глобальный. Этот файл есть на всех лабораторных ПК (более ста), на личных ноутбуках. У меня действительно нет помощи эксперта, чтобы обратиться к ... как говорит Джотти, этот файл чистый.

Вот упал файл [удалено]

Похоже, у всех нас был этот читерский инструмент на наших компьютерах под названием "Garena Maphack". Каждый раз, когда он запускался, он помещал paint.exe в системный каталог.

Paint.exe оцифровывается как настоящий paint.exe из windows. Имея такой же значок и такой.

Ознакомьтесь с отчетом эксперта по угрозе по адресу угрожаемое_путешествие.rep.aspx?md5 = 176288f6f22a80c76329853f8535d45b

Чит игры, из-за которого начался этот огромный беспорядок, можно получить из [удалено]

Что я делаю? Любые эксперты хотят разобрать этот файл?

3 ответа3

2

Пока что это не очень большая находка, но я начал разбирать файл, на который вы ссылались. Я извлек файлы .db и основной пипеткой Exe. Похоже, что это было закодировано в VB, если это имеет значение, и Garena Universal MH, кажется, просто удаляет файлы из файла files.db, используя некоторый крипто-API для помощи в этом процессе.

Один из файлов - это Paint.exe в C:\windows\system32\, как вы упомянули. VirusTotal этого файла показывает 1/40 как попадание для возможного вредоносного ПО. Вот отчет для этого paint.exe.

В то время как я не нашел ничего особенно сумасшедшего в этих файлах, VirusTotal действительно подумал, что что-то было забавно и хорошо, я искал всего около 15 минут. Я бы сказал, чтобы проявить осторожность и переформатировать эти поля. Но тогда я параноик.

0

вы уже запускали MBAM ? если это не помогло , дайте SmitfraudFix шанс (ПРОЧИТАЙТЕ инструкции полностью !!).

0

Не буду трогать файл с 10-футовым шестом, однако я бы сказал, что хорошим первым шагом будет удаление утилиты читов из уязвимых систем.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .