“C:\WINDOWS\system32\Paint.exe”-自动检查
每次删除时都会添加到注册表中。这就像全局文件一样。所有实验室 PC(超过一百台)、个人笔记本电脑都有此文件。我真的没有专家可以求助……正如 jotti 所说,此文件是干净的。
这是删除的文件[已删除]
似乎我们电脑上都有这个叫做“Garena Maphack”的游戏作弊工具。每次运行它都会将paint.exe放入系统目录中。
Paint.exe 伪装成 Windows 中真正的 paint.exe。具有相同的图标等。
查看威胁专家的报告:threatexpert.com/report.aspx?md5=176288f6f22a80c76329853f8535d45b
引发这场大混乱的游戏作弊工具可以从 [已移除] 获得。
我该怎么办?有专家愿意拆开这个文件吗?
答案1
到目前为止,这还不算什么发现,但我开始反汇编您链接的文件。我提取了 files.db 和主 Exe 释放器。它看起来像是用 VB 编码的(如果这很重要的话),而 Garena Universal MH 似乎只是使用一些加密 API 从 files.db 释放文件来协助这一过程。
其中一个文件是 Paint.exe,位于 C:\windows\system32\,正如您所提到的。该文件的 VirusTotal 显示 1/40 为可能的恶意软件。以下是报告对于该paint.exe。
虽然我没有发现这些文件有什么特别奇怪的地方,但 VirusTotal 确实认为有些事情很古怪,而且我只看了大约 15 分钟。我建议谨慎行事,重新格式化这些文件。但是,我是个偏执狂。
答案2
答案3
我不会用 10 英尺长的杆子去触碰该文件,但我认为最好的第一步是从受影响的系统中删除作弊实用程序。