Windowsスクリプトホストは数分ごとに不明なスクリプトを実行します.スケジュールされたタスクが見つかりませんまたはそれを引き起こすスクリプト.

Gilliam 解決済 最終更新日:2021-12-18 03:15

こんにちは、

私はおそらく完全に取り除かれていないいくつかのマルウェアを持っています.そして、それが数分ごとにこのスクリプトを実行しようとしているスケジュールされたタスクやスクリプトを削除するために管理する必要があります.

私は最初にRoguekillerを使ったScanが悪意のあるファイルを特定した後にそれを発見しました、

C:\WindowsフォルダにあるファイルはMSVCP140_2、ファイル拡張子なし(同じ名前の.dllファイルではありません).

Microsoft Defender、MalwareBytesおよびMWB対象アドレスはファイルを検出しません.

Notepad ++でファイルを検査すると、それがwscriptの束の束ですが、ランダムなGibberish引数がたくさんあるが、必要に応じてテキストのコピーを投稿することができます.実際にやっています.それはKeyloggerであるようには見えませんが、私はこれらのことについて十分にわかりません.このテキストをファイルにフォームにしたい場合は、このテキストの壁に秘密情報がないことがわからないので、投稿できる場所も教えてください.

Roguekillerがファイルを検疫できるようにすると、何も起こらず、ファイルは削除されませんでした.

だから私は手動でそれを削除しました.これにより、「OKをクリックすると、OKをクリックすると、Popupが5分以降に再表示された場合は、スクリプトファイルc:\windows\msvcp140_2を見つけることができません.をクリックしてください.

これを発見しても、最近のフルスクリーンプログラムの最近の問題に対する犯人であるかもしれません(

また、そのファイルがまだ場所に存在する場合(そのため、実行中)、[詳細]タブの下のタスクマネージャを検索すると、wscript.exe用のコマンドラインは次のとおりです."WScript.exe/E:JScriptc:\WindowsMSVCP140_2 Microsoft_Product_Version_VytGrg5CEJY8VNALW "

だからおそらく5分ごとに実行されているスケジュールされたタスクがありますが、私が見つけることができない場合、私はそれを見つけるヘルプが必要です、あるいは2番目のスクリプトを実行するように促す別のスクリプトが実行されます.

返信リスト(回答:8)

4 #

JoseBel 2021-07-14 00:11

ありがとうございました.このケースはとても奇妙です.Kaspersky Rescueディスクを使用してオフラインScanを実行することをお勧めします.次のガイドを使用すると、ダウンロードできます.さらに、起動可能なUSB Rescueディスクガイドを作成するにはホットがあります.
https://support.kaspersky.com/14226
このプロセス全体のガイド:

応答4# ->にスキップ
2 #
Gilliam 2021-07-14 18:19
私は起動可能なUSBからScanを実行し、それは2トロイの木馬を見つけました.
クイックScan上の1つ、そして一晩のフルScan上の1つ.
しかし、今すぐ行方不明のファイルを求めるWScriptポップアップはまだ戻ってきました.
しかし、_aw_の答えは、上記の自動タスクを削除した後、WScriptがファイルを求めなかった後、自動実行のスキャナーには奇妙に不十分ではなく、検証済みとしてマークされていました.
私は今回現れる2番目のWCTY自動タスクも削除しましたが、何らかの理由で私が早く送信されたファイルではまだ存在しませんでした.
とにかく助けてくれてありがとうございました.
しかし、好奇心に違いない、この脚本を提出することができるウイルスや場所について、あるいはこの物語全体についてのフォーラムを知っていますか?私はこのスクリプトファイルが実際に行うことになっているものに関して本当に好奇心が強いので、ペイロードが何であるか、そして自動化タスクが容疑者として現れなかった理由.

6 #

JoseBel 2021-07-13 09:20

そのまま残してください.

7 #

JoseBel 2021-07-13 05:47 1

私の最初の推奨事項は、Microsoft Safety Scannerを使用してScanすることです.ダウンロードしてフルScanを実行してください.
https://docs.microsoft.com/ja-jp/windows/securi...
次に、どのロードがSysInternals AutoRunsツールを使用して実行されているwindows かを識別しましょう.
https://docs.microsoft.com/ja-jp/sysinternals/d...
このツールを実行すると、Windowsによってロードされたすべてのプロセスのリストが表示されます.ツールを開くリストが完了している間は数秒待ってから、[結果ファイルの保存]ボタンをクリックします.その後、結果ファイルをここに共有します.OneDriveまたは別のストレージサービスを使用できます.

応答7# ->にスキップ
5 #
Gilliam 2021-07-13 10:12
こんにちは、
早い返信のためにまたありがとうございました.
私はMSSを使ってフルScanしました.
ここではsysinternals autorun64.exeからの.ARNファイルです. リンク:ビュー

応答5# ->にスキップ
3 #
2021-07-14 08:511
責任があるタスクは自動実行で表示されています.
自動実行を右クリックして管理者として実行
Scanが終了すると、[タスクスケジューラ]タブ
を選択します.
フィルタボックスの上にある上に入る:wscript
あなたは偽のMSタスク\Microsoft\Windows\WindowsUpdate\Microsoft_Product_version-
を見るでしょう.
コマンドラインで: "wscript.exe"/e:jscriptc:\windows\msvcp140_2 Microsoft_Product_Version_VytGrg5cejy8vnalw
このタスクを右クリックして削除します.
√

応答3# ->にスキップ
1 #
Gilliam 2021-07-14 18:26
これが問題であるように感謝します、
上記の自動タスクを削除した後、WScriptはファイルをもうファイルを要求しなかったが、自動実行スキャナには容疑者ではなく、検証済みとしてマークされていました.
私は今回現れる2番目のWCTY自動タスクも削除しましたが、何らかの理由で私が早く送信されたファイルではまだ存在しませんでした.
しかし、好奇心に違いない、誰もがこの脚本を提出することができるフォーラムや場所、あるいはこの物語全体でさえ知っていますか?私はこのスクリプトファイルが実際に行うことになっているものに関して本当に好奇心が強いので、ペイロードが何であるか、そして自動化タスクが容疑者として現れなかった理由.

応答7# ->にスキップ
8 #
Gilliam 2021-07-13 07:19
私がこれらのScanをするとき、私のリサイクルビンから容疑者ファイルを復元する必要があるので、少なくともそこから来たのかを確認できますか?またはちょうどそれをそのまま残しなさい?
迅速な返事をありがとう.

√