Tem*_*ame 3 windows registry cmd batch-file
我注意到我的命令行不再启动,它只是在运行时立即最小化并自行关闭。我怀疑这是由于病毒或至少执行了某种恶意程序造成的。我在注册表中找到了以下代码。它看起来很清晰,但我对批处理/命令行的了解有限。谁能告诉我它有什么作用?
@mode 20,5 & tasklist /FI "IMAGENAME eq SoundModule.exe" 2>NUL | find /I /N "SoundModule.exe">NUL && exit & if exist "C:\Users\Leon\AppData\Roaming\Microsoft\SoundModule\SoundModule.exe" ( start /MIN "" "C:\Users\Leon\AppData\Roaming\Microsoft\SoundModule\SoundModule.exe" & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit )
根据这个 reddit 帖子,它是一个“vmprotected 加密货币矿工”。
如果您安装了从 torrent 网络下载的任何内容,例如过去几周发布的流行游戏,您很可能会得到它:^)
以下SO线程包含部分解决方案:CMD.exe在调用后立即关闭(Win7 64)
恶意方AutoRun通过注册表向 Windows 命令处理器添加了一条指令(cmd.exe通常),您需要将其从以下任何位置中删除:
Computer\HKEY_CURRENT_USER\Software\Microsoft\Command ProcessorComputer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor该指令的作用是执行SoundModule.exe然后explorer.exe(如果尚未开始)。
根据此线程中的其他回复,他们设置%comspec%为在启动时运行,通过Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon.
因此,在启动时,它正在运行%comspec%(而不是默认的 Windows 资源管理器),它本身在启动时首先运行SoundModule.exe,然后运行explorer.exe. 不知道他们为什么这样做,任何使用它的人cmd.exe都一定会弄清楚并传播这个消息。
此文件至少有两条已确认的 VirusTotal 记录:[1]、[2]
| 归档时间: |
|
| 查看次数: |
5644 次 |
| 最近记录: |