Duvida com arquivo

c0rv1n0_1983 · Setembro 1, 2019, 5:02pm

Ola galera estou com duvida em um arquivo aqui no meu PC.
Ele se chama Knuckled.exe, gostaria de saber se eh um virus, acessei ele pelo vim do GIT Bash e nao me parece ser um virus, mas ele cria o processo do nada e sempre se cria na pasta APPData.
Seguem os dados:


$       PE  L mbh]        à            4       @    @                       €          @…                           ¸3  S    @   
                   `                                                                       H           .text                              `.rsrc    
   @   
                 @  @.reloc      `      "              @  B                ð3      H      #       a  è"  ¸                                           0 <       r  p¢o
  


+	ša(  
X	Ži2å*¦(  
{   ‚ec(  
šr
  p(  o  
*Ö(  
#        (  
(  
(  {  o  
(  *Ê{  o  
o  
 ‚ecr  pr
  p(  (  
,(  *z,{  ,{  o  
(  
*  0 ö       se  
}  (  
{  eo  
{  s  
o  
{      e  s   
o!  
{  r'  po"  
{      e  s   
o#  
{  o$  
{  þ  s%  
o&  
"  À@"  PAs'  
((  
()  
    e  s   
(*  
(+  
{  o,  
r'  p("  
r'  po-  
(.  
*Z(0  
(1  
s  (2  
*(6  
*   0 3     ~  (7  
, r9  pÐ  (8  
o9  
s:  

€  ~  *~  *€  *~  *Vs
  (<  
t  €  *(=  
*     ´   ÎÊï¾   ‘   lSystem.Resources.ResourceReader, mscorlib, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089#System.Resources.RuntimeResourceSet           PADPADP´   BSJB         v2.0.50727     l   P  #~  ¼  ”a  #Strings    P
  x   #US È
     #GUID   Ø
  @  #Blob         W¢	   ú%3      .            a   =                             
       m X 
 ‚ {  ž ‰  Ë X  
÷  ?X 
 iX
 š…
 O=
 f=
 ƒ=
 ¢=
 »=
 Ô=
 ï=
 
=
 B#
 V#
 „d
 ¤d
 Â{ 
 É{  éX 
 	{  jX 
 œ{  ¨X  ¾X  àÑ óÑ 'X  eÑ kX  ”X o Ã  
 ü{  X  lT
 –ƒ
 ³d
 Þ{ 
 ã{ 
 aa= a÷  6a÷  Ra‰                    € )   	  a    1 ; 	     O ; 
      J%  y-  ¦1  êO P     – ¶ 
  ˜      ¼   Â     †Å   ø      ð   +!    Ä #   L!     + a N"    ‘ S) a e"    ƒÅ  a p"    “¶5 a ¯"    “Ê: a ¶"    “Ö? a ¾"    –úS  Û"    †Å   Å"    ‘Ka)              $   +   -   7I Å ] Q Å ] Y Å ] a Å ] i Å ] q Å ] y Å ]  Å ] ‰ Å   ‘ Å ] ™ Å b ¡ Å  © Üg © âp 	 ù Á ‡ 1 (] 	 Å  	 1Œ 	 =  1 O  1 w‘ É „– © Žš Ñ # 	 #  1 Å  Ù ° Ù È  é Å ¯ Ù æµ ñ Å ¯ Ù ø» Ù ] Ù » Ù b ù Å Á 1 OÇ Å Í 	|Ó 	¢Ú 	 ´» Ù Õá âç Ù æ] Ù ï  !Å  )e) ).ò )P÷ 1Å ý 9Å  AÅ   Å   ÎDIõJIaS9 Å YaÅ fq_aÐ Å  ) Ûm.  ç. e ç. c  . 3 ç. [ . # ç. + ç.  Ù. ; ç. K ç. S íI Ûmƒ «í ƒ ›ƒ £í £ «í £ ›và {í v a      iE   âJ   X  	   
       a €                                X                 r                 {                ¦ Ñ           la       <Module> Knuckled.exe machined Knuckled Program Resources Knuckled.Properties Settings System.Windows.Forms Form mscorlib System Object System.Configuration ApplicationSettingsBase kesey tethered .ctor WebBrowserDocumentCompletedEventArgs steeds System.ComponentModel IContainer components Dispose InitializeComponent WebBrowser Haodctso Main System.Resources ResourceManager resourceMan System.Globalization CultureInfo resourceCulture get_ResourceManager get_Culture set_Culture Culture defaultInstance get_Default Default fuented shantz fuente sender e disposing value System.Reflection AssemblyTitleAttribute AssemblyDescriptionAttribute AssemblyConfigurationAttribute AssemblyCompanyAttribute AssemblyProductAttribute AssemblyCopyrightAttribute AssemblyTrademarkAttribute AssemblyCultureAttribute System.Runtime.InteropServices ComVisibleAttribute GuidAttribute System.Runtime.CompilerServices CompilationRelaxationsAttribute RuntimeCompatibilityAttribute String StringSplitOptions Split Concat FormWindowState set_WindowState Environment GetCommandLineArgs Navigate set_Opacity set_ShowInTaskbar set_ScriptErrorsSuppressed HtmlDocument get_Document get_Title op_Inequality IDisposable Control SuspendLayout DockStyle set_Dock System.Drawing Point set_Location Size set_MinimumSize set_Name set_Size set_TabIndex WebBrowserDocumentCompletedEventHandler add_DocumentCompleted SizeF ContainerControl set_AutoScaleDimensions AutoScaleMode set_AutoScaleMode set_ClientSize ControlCollection get_Controls Add set_Text ResumeLayout STAThreadAttribute Application EnableVisualStyles SetCompatibleTextRenderingDefault Run System.CodeDom.Compiler GeneratedCodeAttribute System.Diagnostics DebuggerNonUserCodeAttribute CompilerGeneratedAttribute ReferenceEquals Type RuntimeTypeHandle GetTypeFromHandle Assembly get_Assembly EditorBrowsableAttribute EditorBrowsableState .cctor SettingsBase Synchronized Knuckled.Properties.Resources.resources  a o d c t   a o d c t a a o d c t  H a o d c t s o  ;K n u c k l e d . P r o p e r t i e s . R e s o u r c e s     \eüLU´ÁH‘3mæoºwF ·z\V4à‰       !    ! !  !      Y 
a ]   
  e    q°?_Õ
:  u y  }  € €‰  € m      @ 3System.Resources.Tools.StronglyTypedResourceBuildera4.0.0.0    €¥€©  €a €a €µ      Y KMicrosoft.VisualStudio.Editors.SettingsDesigner.SettingsSingleFileGenerator12.0.0.0   €¹€¹
 Knuckled      ) $b05bf049-3700-4c4e-b246-4aff34c14bbe          TWrapNonExceptionThrows à3          þ3                          ð3                _CorExeMain mscoree.dll     ÿ%  @                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                               0  €   H  €   `  €   x  €                    €                  ¨  €                  À  €                  Ø  €                   ð                                                                    C  h          øG             0A  \          H  ê          \4   V S _ V E R S I O N _ I N F O     ½ïþ                   ?                         D    V a r F i l e I n f o     $    T r a n s l a t i o n       °¼   S t r i n g F i l e I n f o   ˜   0 0 0 0 0 4 b 0   < 	  F i l e D e s c r i p t i o n     K n u c k l e d     0   F i l e V e r s i o n     0 . 0 . 0 . 0   < 
  I n t e r n a l N a m e   K n u c k l e d . e x e     (   L e g a l C o p y r i g h t       D 
  O r i g i n a l F i l e n a m e   K n u c k l e d . e x e     4   P r o d u c t V e r s i o n   0 . 0 . 0 . 0   8   A s s e m b l y   V e r s i o n   0 . 0 . 0 . 0       (                                                                    &½fÿß€ÿëÿô–ÿï•ÿzƒrÿ€©ÂÿÂÙÇÿ                        \(j'aJ VöÜ}ÿç‰ÿï‘ÿó•ÿ¯}+ÿÝààÿ—™ÿ    Í½ztÍ½zÄÍ½zÄÍ½zÄÍ½zÄ‘j@ä®Sÿ³^ÿ×xÿá‚ÿè‰ÿÞ…ÿá‘ÿÿÿÿÿìóíÿ    Í½zÚÍ½zÿÌ¼sÿÅ¶SÿÈ¹bÿ«œSÿŸKÿÄcÿÐpÿÙzÿß€ÿ³iÿé’
ÿÒÎÉÿÿÿÿÿ    Í½zðÍ½zÿÍ½zÿÇ¸]ÿÄµJÿÇ·Yÿ‡g'ÿ¹Z ÿÇfÿÏoeÿÕvÿÈpÿ½rÿÃ~ ÿ·‘bÿÍ½zÍ½zÿÍ½zÿÍ½zÿÊºjÿ¾°-ÿÇ¸]ÿ½¯7ÿ…\2ÿ¸Z ÿÄdÿÊjÿÍmeÿ¤Xÿ¢\ÿ½hÿÍ½zÍ½zÿÍ½zÿÍ½zÿÊºjÿ¾°-ÿÇ¸]ÿ¯¢/ÿŽ>ÿ[?ÿŸLÿ½] ÿ½^ÿ Pÿ½^ÿ¡NÿÍ½z4Í½zÿÍ½zÿÍ½zÿÊºjÿ¾°-ÿÇ¸]ÿÀ²9ÿŽq@ÿ>"ÿ«I%ÿ°O$ÿ³R#ÿe2 ÿkqÿ‡<ÿÍ½zJÍ½zÿÍ½zÿÍ½zÿÊ»lÿ¿±4ÿÈ¹`ÿÂ³?ÿÇ¸\ÿ¨š6ÿŠc6ÿ‚="ÿA%ÿ€7 ÿhmvÿ‹:#ÿÍ½z`Í½zÿÍ½zÿÍ½zÿÈ¸`ÿÁ³?ÿÁ³>ÿÂ³AÿÂ³BÿÁ³>ÿÁ³>ÿÅ¶Yÿ«eÿhBÿ‘`<ÿ~oGœÍ½zvÍ½zÿÍ½zÿÍ½zÿÍ½zÿÉ¹dÿ¾°-ÿÀ²8ÿÂ³Bÿ½¯'ÿÇ¸]ÿÍ½zÿÍ½zÿÃ´tÿÄ´tÿÍ½z’Í½zŒÍ½zÿÍ½zÿÍ½zÿÍ½zÿÍ½zÿÍ½zÿÆ·WÿÅ¶OÿÍ½xÿÍ½zÿÍ½zÿÍ½zÿÍ½zÿÍ½zÿÍ½z¨Í½zTÊ»läÉ¹cÿÈ¹cÿÉ¹cÿÈ¹cÿÉ¹cÿÈ¹cÿÉ¹cÿÈ¹cÿÉ¹cÿÈ¹cÿÉ¹cÿÈ¹cÿÊºiêÍ½zh    º¬(º¬ º¬ÿº¬ÿº¬Êº¬rº¬rº¬rº¬rº¬rº¬rº¬rº¬rº¬4            » º¬º¬º¬                                                                                                        ÿ   ÿ   À   €   €   €   €   €   €   €   €       €  Ãÿ  ÿÿ  ÿÿ           h       ï»¿<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">
  <assemblyIdentity version="1.0.0.0" name="MyApplication.app"/>
  <trustInfo xmlns="urn:schemas-microsoft-com:asm.v2">
    <security>
      <requestedPrivileges xmlns="urn:schemas-microsoft-com:asm.v3">
        <requestedExecutionLevel level="asInvoker" uiAccess="false"/>
      </requestedPrivileges>
    </security>
  </trustInfo>
</assembly>
       0     4                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      `````

tnsampa · Setembro 1, 2019, 5:10pm

Manda o arquivo para o VirusTotal

c0rv1n0_1983 · Setembro 1, 2019, 5:11pm

Obrigado amigo. Estou com duvida pois possui copyright, e desde quando um virus tem copyright? Isso me deixa na duvida.

tnsampa · Setembro 1, 2019, 5:15pm

procurei por Knuckled.exe e só me retornou Knuckles.exe. que parece ser um joguinho bobinho, pelos comentários, mas não me aprofundei na leitura.

c0rv1n0_1983 · Setembro 1, 2019, 5:45pm

Tambem tentei isso mas não é um jogo.
O Vírus Total me retornou que 20 antivirus de 70 identificam como uma ameaça.
Continuo na duvida. E ele so aparece quando eu inicio o Battle Field 2

Dio · Setembro 1, 2019, 11:49pm

Acho que é um jogo

Natanael.755 · Setembro 2, 2019, 12:11am

Então provavelmente eu um vírus que se passa pelo jogo

Precisam disso pra passar uma imagem de arquivo seguro

c0rv1n0_1983 · Setembro 6, 2019, 4:53pm

Oi Dio eu também achei que é um jogo, mas é um arquivo executavel que apareceu para mim em C:\Users{usuario}\AppData\Local
e ele se cria e inicia sozinho.

c0rv1n0_1983 · Setembro 6, 2019, 4:53pm

Mas eu não baixei nenhum jogo. A não ser um download de mod de Battle Field 2. Acho que veio junto

anon69309558 · Setembro 6, 2019, 4:54pm

Você pode tentar rodar no sandboxie para ver oq é com mais segurança

c0rv1n0_1983 · Setembro 6, 2019, 4:55pm

Obrigado pela ajuda amigo, farei isso mesmo. Caso seja virus eu vou apagar a partição do Windows e instalar novamente.

diegocosta250 · Setembro 9, 2019, 9:50pm

tenho certeza que esse Knuckled.exe e um vírus pois arquivos .exe não podem criar um processo do nada e ainda uma pasta chamada appdata C:\Users{usuario}\AppData\Local sem almenos a autorização de admin ou seja de permitir, ainda mais nesse local os jogos geralmente são instalados em Arquivos de programas x86 ou Arquivos de programas, para confirmas escanei ele com algum antivírus Avira ou Panda ou outro antivírus de sua escolha se acusar que e vírus estará comprovado.

c0rv1n0_1983 · Setembro 18, 2019, 4:40pm

Valeu cara, suspeitei desde o principio. Mesmo assim pra mim n tem muito problema. Porque os arquivos que ele deveria abrir, no caso os scripts de malware, não são encontrados, pq eu parei a instalação.
Mas mt obrigado, agora tenho um virus que não eh um virus kkkkkkkk

diegocosta250 · Setembro 18, 2019, 9:39pm

mais e bom formatar um vírus mais moderno pode ta em um arquivo menor do que 1 mega

c0rv1n0_1983 · Setembro 20, 2019, 11:51am

Vdd, farei uma restauração para versão de fabrica amanhã. Muito obrigado galera!