3 votes

pulsejet avatar

S'agit-il d'un logiciel malveillant (del.bat) ou d'une farce ?

Demandé el 5 de Décembre, 2017
Quand la question a-t-elle été
3481 affichage
Nombre de visites la question a
3 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Hier, j'ai découvert le fichier batch suivant dans mon dossier SysWOW64 :

@Echo Off
cd /d C:\Windows\SysWOW64\
:Start
del svchost.exe
If Exist svchost.exe Goto Start
del %0

Je l'ai découvert en ouvrant le gestionnaire de tâches, car je perdais de la batterie comme un fou. Je n'ai aucune idée de la façon dont il a commencé à fonctionner, parce qu'il n'y avait pas de tâches planifiées pour lui, pas de services, de démarrage, etc. et il fonctionnait sans fenêtre visible (juste cmd.exe )

Malheureusement, je l'ai tué à la hâte, car il était en train d'épuiser ses ressources, et je n'ai donc pas saisi les arguments, ce qui aurait permis de donner plus de sens à tout cela. Est-ce que quelqu'un a déjà vécu cela ? J'ai essayé de faire passer le fichier par virustotal qui affirme qu'il est totalement sûr. Ou s'agit-il d'une farce ?

P.S. Windows 10, entièrement mis à jour. Malwarebytes ne détecte rien.

Edit : Quelques recherches supplémentaires m'ont amené à un logiciel malveillant DDos. Xuhuan mais je n'ai pas obtenu les clés de registre et autres fichiers mentionnés par McAffe, et je n'ai pas reçu d'invite de pare-feu de la part de McAffe. explorer.exe

Edit 2 : Virustotal est rempli de rapports positifs maintenant, donc je suppose que ce n'est plus un problème !

Demandé el 5 de Décembre, 2017 par pulsejet

Réponses

Trop de publicités?

4voto

Sonickyle27 avatar
Sonickyle27 Points 338

Voyons cela ligne par ligne.

@Echo Off

Les commandes du lot script ne seront pas imprimées sur la console lorsqu'elles seront exécutées.

cd /d C:\Windows\SysWOW64\

Le script navigue vers le dossier SysWOW64 de votre C:\ conduire. Les /d Le commutateur fait en sorte que le script change le lecteur actuel en C:\ devrait-il en être autrement ?

:Start

Il s'agit d'un label auquel il est fait référence plus loin.

del svchost.exe

Si svchost.exe existe dans le répertoire actuel, le supprimer. Cette opération ne l'envoie pas à la corbeille ; il disparaît à jamais, à moins que vous n'ayez de la chance avec un logiciel de récupération de fichiers. Notez que cette opération supprime le fichier svchost.exe qui est utilisé pour les services 32 bits fonctionnant sur un système 64 bits. svchost.exe réside également dans votre System32 qui, sur un système 64 bits, est utilisé pour les services 64 bits (alors que sur un système 32 bits, il est utilisé pour les services 32 bits).

If Exist svchost.exe Goto Start

Si svchost.exe existe toujours pour une raison quelconque, le script reviendra en boucle à l'élément :Start définie plus tôt, puis il essaiera d'exécuter l'étiquette del svchost.exe jusqu'à ce qu'il soit supprimé.

del %0

Une fois svchost.exe a été supprimée, l'instruction If ne reviendra pas en boucle à l'étiquette et exécutera plutôt ceci. Normalement, le script supprimera son propre fichier, mais selon la norme ce commentaire sur une réponse SO, cela ne fonctionnera pas car le chemin actuel aurait changé ?

Je ne l'utiliserais pas si vous tenez à votre système d'exploitation.

Pour ce qui est de l'épuisement de la batterie, je peux imaginer qu'il fonctionne sans fin s'il ne peut pas effacer les données. svchost.exe (manque d'élévation, fichier en cours d'utilisation ?). Dans ce cas, le script essaierait de supprimer le fichier des centaines, voire des milliers de fois par seconde. la mise en péril du disque dur épuiser votre CPU (merci Sampo pour la correction !), et donc vider votre batterie.

Répondu el 5 de Décembre, 2017 par Sonickyle27 (338 Points )

3voto

Nick Moody avatar
Nick Moody Points 146

Pour ce que ça vaut (peu), Malwarebytes le détecte maintenant comme Trojan.Agent.Trace (leur nom générique "c'est méchant mais on ne sait pas de quel virus ça vient"). Je l'ai trouvé sur mon système, qui est un ordinateur de bureau câblé. Je vis seul. Je n'ai aucune idée de la façon dont il est arrivé là, donc tout cela me fait froid dans le dos.

Cela me rappelle les vieux virus classiques des années 90. Ils ne cherchaient pas à sceller les informations de votre carte de crédit ou à utiliser votre ordinateur pour miner, ils voulaient simplement perturber votre installation Windows.

Répondu el 22 de Décembre, 2017 par Nick Moody (146 Points )

-1voto

user1448914 avatar
user1448914 Points 176

Ce fichier n'est pas un virus. Il supprime uniquement le fichier "svchost.exe" et tente d'effectuer une tâche de suppression si ce fichier existe toujours.

Répondu el 5 de Décembre, 2017 par user1448914 (176 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X