未检测到病毒?我在大学读书,现在学校的所有计算机在启动时都有 paint.exe -autocheck?

未检测到病毒?我在大学读书,现在学校的所有计算机在启动时都有 paint.exe -autocheck?

“C:\WINDOWS\system32\Paint.exe”-自动检查

每次删除时都会添加到注册表中。这就像全局文件一样。所有实验室 PC​​(超过一百台)、个人笔记本电脑都有此文件。我真的没有专家可以求助……正如 jotti 所说,此文件是干净的。

这是删除的文件[已删除]

似乎我们电脑上都有这个叫做“Garena Maphack”的游戏作弊工具。每次运行它都会将paint.exe放入系统目录中。

Paint.exe 伪装成 Windows 中真正的 paint.exe。具有相同的图标等。

查看威胁专家的报告:threatexpert.com/report.aspx?md5=176288f6f22a80c76329853f8535d45b

引发这场大混乱的游戏作弊工具可以从 [已移除] 获得。

我该怎么办?有专家愿意拆开这个文件吗?

答案1

到目前为止,这还不算什么发现,但我开始反汇编您链接的文件。我提取了 files.db 和主 Exe 释放器。它看起来像是用 VB 编码的(如果这很重要的话),而 Garena Universal MH 似乎只是使用一些加密 API 从 files.db 释放文件来协助这一过程。

其中一个文件是 Paint.exe,位于 C:\windows\system32\,正如您所提到的。该文件的 VirusTotal 显示 1/40 为可能的恶意软件。以下是报告对于该paint.exe。

虽然我没有发现这些文件有什么特别奇怪的地方,但 VirusTotal 确实认为有些事情很古怪,而且我只看了大约 15 分钟。我建议谨慎行事,重新格式化这些文件。但是,我是个偏执狂。

答案2

你跑了吗工商管理硕士还没有?如果失败了,给欺诈修复一针(仔细阅读说明!!)。

答案3

我不会用 10 英尺长的杆子去触碰该文件,但我认为最好的第一步是从受影响的系统中删除作弊实用程序。

相关内容