DeleteOnReboot.bat na pasta temporária

0

Acabei de dar uma olhada na minha pasta %temp% e encontrei um arquivo chamado DeleteOnReboot.bat . Eu não esperaria ver esse tipo de coisa lá, e na inspeção com o bloco de notas, posso ver que ele contém instruções para forçar a exclusão de uma carga de chaves de registro.

Parece preocupante, mas em uma inspeção mais detalhada, algumas das chaves que reconheço como spam / malware, por isso estou pensando se esse arquivo é realmente benigno - possivelmente criado pelo meu antivírus.

Então, minhas perguntas são:

  • De onde veio isso? tem uma data de criação de alguns dias atrás e eu recentemente instalei temporariamente o Malwarebytes , eu também tenho o Norton . Esse comportamento é conhecido por um deles?
  • Por que ainda está na pasta temporária - isso não deveria ter sido limpo? O nome / conteúdo implica em um programa único que é executado quando eu ligo meu computador (o que provavelmente aconteceu nos últimos dias desde que o arquivo foi criado)
  • Devo apenas executá-lo e / ou excluí-lo? Parece que ele está acabando com adwares como sizlsearch e Wajam , o que eu acho bom, mas eu não ouvi falar de outros como OCComSDK.ComSDK.1

O arquivo não é muito longo, então vou postar o conteúdo

@echo off
reg delete "HKLM\SOFTWARE\Classes\LXImageTool.ZIPTool" /f
@echo off
reg delete "HKLM\SOFTWARE\Classes\LXImageTool.ZIPTool.1" /f
@echo off
reg delete "HKLM\SOFTWARE\Classes\OCComSDK.ComSDK" /f
@echo off
reg delete "HKLM\SOFTWARE\Classes\OCComSDK.ComSDK.1" /f
@echo off
reg delete "HKCU\Software\Microsoft\Internet Explorer\InternetRegistry\REGISTRY\USER\S-1-5-21-3299057831-706162602-1696328398-1001\Software\mysearchdial" /f
@echo off
reg delete "HKCU\Software\Microsoft\Internet Explorer\InternetRegistry\REGISTRY\USER\S-1-5-21-3299057831-706162602-1696328398-1001\Software\sizlsearch" /f
@echo off
reg delete "HKCU\Software\Microsoft\Internet Explorer\InternetRegistry\REGISTRY\USER\S-1-5-21-3299057831-706162602-1696328398-1001\Software\Wajam" /f
@echo off
reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AFBCB7E0-F91A-4951-9F31-58FEE57A25C4}" /f
@echo off
reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AFBCB7E0-F91A-4951-9F31-58FEE57A25C4}" /f
@echo off
reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.com%2fconduit%2f" /f
    
por Greedo 01.07.2017 / 15:51

0 respostas