wscriptin ajo estetty winukan toimesta. Mountsi Trojan?

[Kuka_kusi_muroihini]

Tänään alkoi pyytämättä läppäri tekemään tällaista.
Ilmoittaa, että Troja =97M/Mountsi havaittu, ja tästä syystä estää wscriptin käytön ja sillä scriptien ajon. Pari vuotta olen samaa scriptiä buutissa käynnistänyt, ja nyt tällainen ongelma päällä.

Asensin malwarebytesin, joka ei löydä mitään Mountseja tai muita ongelmia. Läppäri toimii normaalisti, joten onko tässä nyt kyse falsesta vai ihan aidosta ongelmasta?
Windowsin oma virustentorjunta ei löydä manuaalisessa ajossa ongelmia, mutta aina kun buutin tekee ja olen määritellyt scriptin ajon alkuun, niin tuo ilmoitus tulee.

Ajettavan scriptin sisältö on tämä:
CreateObject("Wscript.Shell").Run "npm run start", 2

Eli osaiskos joku fiksumpi sanoa, että onko minulla joku Mountsi troijalainen koneella vai onko kyseessä virheellinen ilmoitus kun ei yksikään skanni tuota haettassa löydä.
Jos virustorjunta nyt haluaa estää wscriptin käytön, niin mitä vaihtoehtoja minulla on tuon kyseisen komennon ajamiseksi jostakin filusta jonka saisi käynnistyksessä aina automaattisesti ajettua?

 

[=JP=]

Liittyiskö ny tähän jotenkin?

Windows 10 aloittaa Mahdollisesti ei-toivottujen sovellusten estämisen vakiona

Kaotik kirjoitti uutisen/artikkelin: Microsoft toi Windows 10:n May 2020 -päivityksessä mukaan uuden tietoturvaominaisuuden, jonka on tarkoitus estää automaattisesti todennäköisesti haitallisten sovellusten asennus. Nyt kyseinen ominaisuus otetaan käyttöön vakiona. Microsoft on ilmoittanut...

bbs.io-tech.fi

 

[Desgorr]

Mitä tuo Lisätietoja linkki antaa? Oletko kokeillut napata tuon pois startupista ja valitteleeko vielä sen jälkeen?

 

[Romi]

No en oikein usko, että valitaa scriptien ajosta. Vaan se valittaa, että windowsin oma wscripts.exe on korvattu jollain toisella ohjelmalla, joka vastaa 097m/mountsi.. koodin pätkää.

 

[Kuka_kusi_muroihini]

Lisätietoja linkki avaa selaimella tämän:

Threat description search results - Microsoft Security Intelligence

Ja sieltä vain haetaan ms:n sivuilta tiedotteet. Kyseistä O97M/Mountsi.D!ml:ää ei listalla ole.

Se valittaa vain kun sitä startupissa ajaa. Eli jos ottaa pois, niin sitä ei ajeta, eikä valiteta. Jos käsin ajan scriptin, niin ei valita.

 

[Kuka_kusi_muroihini]

No en oikein usko, että valitaa scriptien ajosta. Vaan se valittaa, että windowsin oma wscripts.exe on korvattu jollain toisella ohjelmalla, joka vastaa 097m/mountsi.. koodin pätkää.

En mä kaiketi ole korvannut mitään millään. Eikös tuo wscript.exe ole Windowsin oma palvelu:

wscript

Reference article for the wscript command; wscript provides an environment in which users can execute scripts in various languages that use various object models to perform tasks.

docs.microsoft.com

EDIT: ja siis mä löysin täältä kysytyt ohjeet asian hoitamiseksi. Eli se miksi olen tuon scriptin vbs:n laittanut. Tuossa topicissa ja kyseisessä viestissä annettu ohje on se mitä noudatin ja mikä on aina tähän päivään asti toiminut.

Pieniä kysymyksiä ohjelmoinnista

(TUOTE.HINTA = TAULU.MIN) OR (TUOTE.HINTA > TAULU.MIN and TUOTE.HINTA

bbs.io-tech.fi

 

[Kuka_kusi_muroihini]

Liittyiskö ny tähän jotenkin?

Windows 10 aloittaa Mahdollisesti ei-toivottujen sovellusten estämisen vakiona

Kaotik kirjoitti uutisen/artikkelin: Microsoft toi Windows 10:n May 2020 -päivityksessä mukaan uuden tietoturvaominaisuuden, jonka on tarkoitus estää automaattisesti todennäköisesti haitallisten sovellusten asennus. Nyt kyseinen ominaisuus otetaan käyttöön vakiona. Microsoft on ilmoittanut...

bbs.io-tech.fi

Niin tämä sinun linkkisi. Mistä tuosta pystyy päättelemään, että blokataanko juuri tästä syystä.. ja miksi blokkaus toimisi vain käynnistyksen yhteydessä ajetusta scriptista? Jos ajan tuon jälkikäteen, niin kukaan estä tai varoita mitään.

 

[Kuka_kusi_muroihini]

Asensin vielä spyhunterin ja tulos on tämä:

Eli tuo alempi on se oma vbs:ni jota olen koko ajan ajanut. Täällä ei puhuta mitään malwaresta, vaan mainitaan, että scribu käynnistyy automaattisesti ja varmistetaan, tiedänkö minä sen. Olisko nyt niin ,että windows ylireagoi?

 

[Desgorr]

Joko kokeilit käynnistää koneen ilman tuota skriptiäsi? Kokeilisin myös nakkaa tuon wscript.exen virustotaliin. Toki tämä ei pomminvarma homma ole, kun saattaa napata exestä saastumattoman version lähetettäväksi.

Edit:

Se valittaa vain kun sitä startupissa ajaa. Eli jos ottaa pois, niin sitä ei ajeta, eikä valiteta. Jos käsin ajan scriptin, niin ei valita.

Ahaa, no sitten taitaa olla vain tuosta skriptistä kyse. Tuo tosiaan saattaa nakata valituksen sen takia kun tuota skriptiä ajaessa ajetaan wscript.exe ja luulee, että tuo exe on syyllinen.

 

[Romi]

Jahas ilmeisesti se on tuo microsoftin amsi joka blokkaa vbscriptin ajon Wscript.exe:ssä. Eli windows defender ei tykkää "Office 97 macro" tyyppisistä vbscripteistä joissa ajetaan jotain tuntematonta taustalla ilman käyttäjän toimintaa.

 

[Kuka_kusi_muroihini]

NIin voiko tämän nyt tulkita, että mitään uhkaa ei ole kun mitään ei oikeasti löydy. Ja että windows tekee politiikkaansa, jonka painoarvo on enemmän tietoturvassa kuin ehkä siinä mitä käyttäjä itse haluaa tehdä.

 

[Kuka_kusi_muroihini]

No tämähän menee näköjään niin, että tuota wbscript.exeä ja sitä ajettavaa vbs:ää ei saa mitenkään vapautettua Defenderin toimista. Lisäsin Defenderin poikkeuksiin kaiken mahdollisen paskan mitä voi, ja aina blokataan scriptin ajo. Lisäsin parhaimmillaan nämä:
wbscript.exe
startarscript.vbs
vbs tiedostopääte
startarscriptin kansio

Ainoa ero syntyi siinä, että blokkauksen jälkeen virustorjunta ei tehnyt mitään karanteenitoimia, mutta esti scriptin ajon kuitenkin. Milläs helvetillä tämä nyt kierretään. Onko jokin vaihtoehtoinen tiedostopääte jonka voi winukan käynnistyksessä laittaa ajamaan, jossa suoritetaan komento:
CreateObject("Wscript.Shell").Run "npm run start", 2

(ja tuo nr2 piilottaa komentokehotteen kuten kuuluu, mutta pääkomento kansiossa on npm run start.)

 

[Kuka_kusi_muroihini]

Siirryin pieniä kysymyksiä ohjelmoinnista ketjuun, sillä etsin nyt vaihtoehtoista tapaa tuon scriptin ajamiseen.