Localize e pare a origem dos comandos do PowerShell executados

Question

Localize e pare a origem dos comandos do PowerShell executados

#1 resposta do (0 votos)

0

Algum tempo atrás, eu fui infectado com um monte de vírus e malware. Eu me livrei da maioria deles com bytes de malware, Windows Defender e verificação manual de processos desconhecidos que eu iria abrir sua localização de arquivos e excluir. Eu estou preso com um último que é especialmente irritante:

Em horários aleatórios (frequência de dias entre as semanas até o meio), o Google Chrome irá travar e ser removido da barra de tarefas. Outro falso cromo e falso firefox serão então instalados (veja e funcione da mesma forma, mas não são o caminho de arquivo correto).

Algumas novas pastas também são criadas. Eu os excluo toda vez, mas eles ainda são criados na próxima vez que o vírus é executado. É um pouco diferente a cada vez, mas os consistentes são:

uma pasta em% appdata% chamada "WinSapSvc" com um único arquivo "WinSAP.dll". Este arquivo é executado no Gerenciador de Tarefas
Em Arquivos de Programas (x86), várias pastas com rabiscos longos (exemplo: {61A49C04-9843-4B67-8890-1862F29D01AD}). Essas pastas contêm uma segunda pasta chamada " ALLOWDEL (mais ininteligível)", que contém vários arquivos .exe e .dll e um .msi chamado Snarer.msi. Também alguns arquivos com nenhuma extensão que se parecem com javascript que pertence ao hangouts do Google.

Editar: # 3 - Desativa o Windows Defensor e faz com que as definições fiquem desatualizadas há um ano. Parece também reinstalar o Windows Defender

Editar # 2: Uma das principais coisas que faz é lançar um serviço chamado "gatinho". Ele é executado sob svchost.exe com o comando "C: \ windows \ system32 \ svchost.exe -k Kitty -s". Eu não consigo descobrir como me livrar disso (embora depois de pará-lo, ele começou de novo, então talvez não seja o problema da raiz)

Desta vez eu abri o gerenciador de tarefas imediatamente quando o google chrome caiu e havia 10-20 comandos do powershell em execução que estavam se fechando rapidamente. Eu suponho que se eu puder descobrir de onde isso está sendo disparado, posso finalmente matar o vírus. De onde os comandos do powershell podem ser acionados? O agendador de tarefas diz que nenhuma tarefa foi executada nas últimas 24 horas.

google-chrome windows-10 powershell virus

por Blaine 29.04.2017 / 09:34

1 resposta

Tags google-chrome windows-10 powershell virus

Como executar o htop no pc remoto? Nova compilação do PC não inicializando - os fãs não rodam

score 0 · Answer 1

Bem, acho que encontrei a resposta para mim pelo menos. Eu tinha um serviço chamado BIT que estava sempre rodando em segundo plano e estava rodando o svchost com alguns parâmetros extras que eu não reconheci. Eu deletei com os comandos abaixo e não tive um incidente desde então. (Eu também executei o malwarebytes e o scanner de trojans simplysup depois, o que deu positivo, mas não detectou nada de novo).

sc stop BIT

sc delete BIT

Atualização: Os serviços são reinstalados após algum tempo. Eu acho que o atualizador Spotify estava infectado, pois cada vez que o Spotify fosse atualizado, ele executaria os comandos, instalaria os serviços e um monte de outros malwares. Depois de reinstalar o spotify, não tive mais problemas.