DeleteOnReboot.bat dans le dossier temporaire

0

Je viens de jeter un coup d’œil dans mon %temp%dossier et j’ai trouvé un fichier appelé DeleteOnReboot.bat. Je ne m'attendrais pas à voir ce genre de chose là-bas, et lors de l'inspection avec le bloc-notes, je peux voir qu'il contient des instructions pour forcer la suppression d'un chargement de clés de registre.

Cela semble inquiétant, mais à y regarder de plus près, certaines des clés que je reconnais comme étant du spam / programme malveillant sont concernées. Je me demande donc si ce fichier est réellement bénin - éventuellement créé par mon anti-virus.

Donc mes questions sont:

  • D'où vient-il; sa date de création date de quelques jours et j'ai récemment installé temporairement Malwarebytes , j'ai également Norton . Ce comportement est-il connu pour l'un d'entre eux?
  • Pourquoi est-il toujours dans le dossier temporaire - cela n’aurait-il pas dû être nettoyé? Le nom / contenu implique un programme unique qui s'exécute lorsque j'allume mon ordinateur (ce qui s'est probablement passé ces derniers jours depuis la création du fichier).
  • Devrais-je simplement l'exécuter et / ou le supprimer? On dirait que c'est juste en train de détruire les logiciels de publicité sizlsearch, Wajamce qui, je suppose, est bon, mais je n'ai pas entendu parler de certains autres, commeOCComSDK.ComSDK.1

Le fichier n'est pas trop long alors je vais poster le contenu

@echo off
reg delete "HKLM\SOFTWARE\Classes\LXImageTool.ZIPTool" /f
@echo off
reg delete "HKLM\SOFTWARE\Classes\LXImageTool.ZIPTool.1" /f
@echo off
reg delete "HKLM\SOFTWARE\Classes\OCComSDK.ComSDK" /f
@echo off
reg delete "HKLM\SOFTWARE\Classes\OCComSDK.ComSDK.1" /f
@echo off
reg delete "HKCU\Software\Microsoft\Internet Explorer\InternetRegistry\REGISTRY\USER\S-1-5-21-3299057831-706162602-1696328398-1001\Software\mysearchdial" /f
@echo off
reg delete "HKCU\Software\Microsoft\Internet Explorer\InternetRegistry\REGISTRY\USER\S-1-5-21-3299057831-706162602-1696328398-1001\Software\sizlsearch" /f
@echo off
reg delete "HKCU\Software\Microsoft\Internet Explorer\InternetRegistry\REGISTRY\USER\S-1-5-21-3299057831-706162602-1696328398-1001\Software\Wajam" /f
@echo off
reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AFBCB7E0-F91A-4951-9F31-58FEE57A25C4}" /f
@echo off
reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AFBCB7E0-F91A-4951-9F31-58FEE57A25C4}" /f
@echo off
reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.com%2fconduit%2f" /f
Greedo
la source
Ce n’est pas parce que vous avez des logiciels antivirus et anti-programmes malveillants que vous êtes 100% sécurisé. Vous devez également faire preuve de bon sens et de bon sens quand il s’agit de… permettre à d’autres utilisateurs d’obtenir des autorisations élevées sur la machine lorsque vous n’êtes pas là, Si vous naviguez sur Internet et cliquez sur diverses choses, etc., vous devez également vous assurer que les définitions du logiciel de sécurité sont mises à jour, puis effectuer des analyses complètes de tous les systèmes. Qu'est-ce qui a été récemment installé (voir Programmes et fonctionnalités), quand la dernière analyse AV ou AM complète avec définitions mises à jour a-t-elle été exécutée, qui d'autre utilise cette machine?
Pimp Juice IT
@ McDonald's Oh, je ne suis pas très inquiet d'avoir un virus. Je ne faisais que lister le matériel audiovisuel que j'ai installé, car je suppose qu'il pourrait être la source du fichier, en fonction de l'objectif apparent du fichier. Dans l'état actuel des choses, le fichier a été créé à la date à laquelle j'ai installé et exécuté l'analyse complète du système Malwarebytes (en réponse à une extension chrome défectueuse qui s'est détériorée le même jour). J'imagine que c'était avec les dernières définitions. La dernière analyse complète de Norton avec mises à jour datait peut-être d’un mois. Les seuls logiciels installés au cours des deux derniers mois sont AV et Visual Studio 2017. Je suis le seul utilisateur
Greedo
Je dirais que vous devez redémarrer et voir ce qui se passe, puis relancer les analyses complètes des logiciels AV et AM. Celles-ci semblent être liées à la suppression des valeurs de registre. C'est pourquoi AntiMalwareBytes l'a peut-être créé pour aider à supprimer les enregistrements orphelins et autres lors du prochain redémarrage.
Pimp Juice IT