Script.VBS.Agent.ai juan.vbs专杀
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden
值:Type: REG_DWORD, Length: 4, Data: 0
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\
SHOWALL\CheckedValue
值:Type: REG_DWORD, Length: 4, Data: 0
其它方面:
每隔一段时间自动复制副本到c:\WINDOWS\%username%.vbs、c:\WINDOWS\system32\%username%.vbs,并对对注册表作出上面的修改;
整个vbs文件分为好几个模块,在感染的时候会打乱并重新组合这些模块,而模块的名称也会改变;
如果感染的文件超过2000个,则会弹窗对话框:"您已有超过2000个文件被感染!不过请放心,此病毒很容易被清除!请联系418465***-_- !"
监视如下的进程"ras.exe", "360tray.exe", "taskmgr.exe", "cmd.exe", "cmd.com", "regedit.exe", "regedit.scr", "regedit.pif", "regedit.com", "msconfig.exe", "SREng.exe", "USBAntiVir.exe" ,发现后就结束之;
c:\WINDOWS\system32\%GetUserName%.ini里面记录了一些数据,包括感染日期,用于日后作出对照。
结语:
对vbs的了解只能让我分析到这里了,其它的有待vbs达人(某U出来看看啦)分析;
另外不知这个东西会不会被卡巴命名为 Virus.VBS.KillAV.a 呢,哈哈![:14:]
相关推荐
-
Script.VBS.Agent.ai juan.vbs专杀
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden 值:Type: REG_DWORD, Length: 4, Data: 0 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ SHOWALL\CheckedValue 值:Type: RE
-
tel.xls.vbs xls专杀工具
1.双击运行tel.xls.vbs即可消灭Trojan.Win32.Patched.v病毒. 2.本专杀使用VBS脚本编写,执行效率高,不过缺乏智能性,我也不愿去添加那些IF判断语句来进行智能判断,这没必要.只要是我分析的病毒而写出的对于专杀都是有效的,当然病毒变异了那就没办法了,任何专杀都是这样.有变种可以与我联系http://hi.baidu.com/ycosxhack. 3.学习如何用VBS写自己的专杀工具可以查看这里: http://hi.baidu.com/ycosxhack/blog
-
用vbs实现的一款Worm.Win32.VB.fw病毒专杀
在写了<Worm.Win32.VB.fw分析与清除方案>后,也没想到要写什么专杀,不过这些天好多同学都说中了这只病毒,我要是一个一个去解决,非忙死我不可!感染范围挺大的!我之前写了一篇<VBS编程打造自己的病毒专杀工具> ,VBS相对来说熟悉点,所以这次就用VBS来写个专杀吧--下面代码不懂的,请参考那篇介绍如何写自己的病毒专杀的文章吧. 复制代码 代码如下: on error resume next set w=getobject("winmgmts:") s
-
病毒专杀VBS模块
"病毒专杀VBS模块.vbs"这个文件你可以直接执行,不会有任何破坏^^. 提供专杀模板,你就可以根据你分析出的病毒行为写出自己的病毒专杀工具. 非常的方便,非常的高效! 作为一个反病毒人士不应该仅仅能分析好病毒日志,还要知道如何分析病毒行为! 进而给出自己的解决方案! 这个解决方案并不一定非得用到网上那些出名的小软件icesword之类的. 因为你也可以自己写专杀,只要你学过VBS就行! VBS代码很简单,和VB.VBSCRIPT是如出一辙的-- 自然bat批处理(DOS命令)也可以
-
病毒专杀VBS模板更新
自从发布了<写了款Worm.Win32.VB.fw病毒专杀>与<病毒rundll.exe专杀发布与源码共享>两篇文章中的病毒专杀后,我的病毒专杀VBS模板也开始考虑完善.这次增加了"HOSTS文件恢复功能模块"与"Autorun免疫功能模块".本地服务的控制模块还在测试中--源码还是完全公开,这样的好处是有兴趣的朋友可以继续完善,多谢小G.UMU.看破红尘! 07.4.30日更新如下:1."病毒文件删除模块"支持环境变量,
-
用vbs实现7y7.us木马群的专杀工具 下载
增加屏蔽: 16a.us www.nice8.org 更新对新的木马的查杀,修改结束进程模块. 本来这个专杀只是玩VBS时做的一个拙品,但是看到有人还在提醒我木马群更新,专杀杀不干净的时候我就又再次更新了.需要的朋友就继续关注这里的更新吧.送佛送到西.... vbs文件 复制代码 代码如下: on error resume next msgbox "本专杀由[G-AVR]Gryesign提供,请关注BLOG及时更新专杀---http://hi.baidu.com/greysi
-
Trojan.DL.VBS.Agent.cpb(k[1].js)脚本病毒的解决方法
脚本病毒:Trojan.DL.VBS.Agent.cpb (文件名为k[1].js)老是在internet临时文件里出现,瑞星监控杀了又来,如此反复着!我试图清空临时文件,但一上网打开网页(不管是哪些网页),那个k[1].js又会被瑞星监控到.这是怎么回事呀?是误报吗? 该网页利用MS06-014漏洞,下载http://day.91tg.net/xp.dll到C:\WINDOWS\winhelp.dll,并直接写入注册表 Code: HKLM\SOFTWARE\Classes\CLSID\{6B
-
Autorun随机7位字母命名的病毒专杀工具
<!DOCTYPE HTML PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <title>七位字母命名的病毒专杀工具</tit
-
解决http://16a.us/2.js之arp欺骗的方法附专杀工具
公司局域网访问所有页面都加上了<script src=http://16a.us/2.js></script>代码, 这次是客户端打开的所有网页,故可排除是服务器环境遭遇arp欺骗,综合网上各方意见,得出结论:本地网关或dns被劫持,修复本地连接后故障消除. 根本解决方法,绑定网关mac地址,方法为: 命令行输入arp -s 网关IP 网关MAC 关于网关MAC,可使用arp命令查询. 如果是dns被劫持,则更改dns服务器. 关于js加密解密的两篇文章,想研究上面病毒脚本的朋友可
-
情人节病毒介绍与专杀方案大全第1/2页
典型"情人节"病毒的介绍 1.情人节(vbs.Valentin)病毒 情人节(vbs.Valentin)病毒是一个会写情书的病毒.它会将自身用脚本加密引擎加密后插入到HTML文件中,病毒运行时会产生一个名为Main.htm的病毒文件,并拷贝到系统目录中.并搜索outlook的地址薄中的所有邮件地址,向这些地址发送标题为:Feliz san valentin,内容为:Feliz san valentin. Por favor visita...的病毒邮件.该病毒还会通过网络聊天工具mI
随机推荐
- 详解使用Vue.Js结合Jquery Ajax加载数据的两种方式
- Java字母加数字组合比较大小
- Jsonp post 跨域方案
- HTML5游戏引擎LTweenLite实现的超帅动画效果(附demo源码下载)
- asp.net安全、实用、简单的大容量存储过程分页第1/2页
- C# .Net动态调用webService实现思路及代码
- php查询mysql数据库并将结果保存到数组的方法
- WordPress中查询文章的循环Loop结构及用法分析
- python实时分析日志的一个小脚本分享
- 在MySQL中同时查找两张表中的数据的示例
- js 单引号 传递方法
- Line,Polyline(线)对象
- linux配置ntp服务器的方法
- php下使用iconv需要注意的问题
- flash 系统字体显示问题
- JavaScript函数参数使用带参数名的方式赋值传入的方法
- Javascript学习笔记之 函数篇(二) : this 的工作机制
- js post方式传递提交的实现代码
- win2003服务器安全设置教程图文(系统+数据库)
- C#解析Lrc歌词文件过程详解