一只印度尼西亚的vbs

小杨过

我的学校电脑全部中了这个病毒。。。
大大帮忙解决一下。。。
http://bbs.kafan.cn/thread-463381-1-1.html

HC303

When accessing data from the URL, "http://bbs.kafan.cn/attachment.php?aid=515435&k=2252ecd1019a4f56cb351844487b3fc0&t=1239973163"
a virus or unwanted program 'VBS/Agent.11588' [virus] was found.
Action taken: Blocked file

wsmurderer

2009-4-17 21:02:25    创建文件    阻止
进程: c:\windows\system32\wscript.exe
目标: C:\WINDOWS\h4ck3v1l.vbs
规则: [文件组]关系到系统启动运行的文件_阻止建改删 -> [文件]c:\windows\*

2009-4-17 21:02:25    创建文件    阻止
进程: c:\windows\system32\wscript.exe
目标: C:\h4ck3v1l.vbs
规则: [文件组]危险文件和重要文件_阻止建改删 -> [文件]?:\; *.vbs

2009-4-17 21:02:25    创建文件    阻止
进程: c:\windows\system32\wscript.exe
目标: C:\autorun.inf
规则: [文件组]autorun全面禁止 -> [文件]*; autorun.inf

2009-4-17 21:02:25    创建文件    阻止
进程: c:\windows\system32\wscript.exe
目标: D:\h4ck3v1l.vbs
规则: [文件组]危险文件和重要文件_阻止建改删 -> [文件]?:\; *.vbs

2009-4-17 21:02:25    创建文件    阻止
进程: c:\windows\system32\wscript.exe
目标: D:\autorun.inf
规则: [文件组]autorun全面禁止 -> [文件]*; autorun.inf

2009-4-17 21:02:25    创建文件    阻止
进程: c:\windows\system32\wscript.exe
目标: E:\h4ck3v1l.vbs
规则: [文件组]危险文件和重要文件_阻止建改删 -> [文件]?:\; *.vbs

2009-4-17 21:02:25    创建文件    阻止
进程: c:\windows\system32\wscript.exe
目标: E:\autorun.inf
规则: [文件组]autorun全面禁止 -> [文件]*; autorun.inf

2009-4-17 21:02:25    创建文件    阻止
进程: c:\windows\system32\wscript.exe
目标: F:\h4ck3v1l.vbs
规则: [文件组]危险文件和重要文件_阻止建改删 -> [文件]?:\; *.vbs

2009-4-17 21:02:25    创建文件    阻止
进程: c:\windows\system32\wscript.exe
目标: F:\autorun.inf
规则: [文件组]autorun全面禁止 -> [文件]*; autorun.inf

2009-4-17 21:02:25    修改注册表值    阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
值: NoTrayItemsDisplay
规则: [注册表组]系统相关设置 -> [注册表]*\Software\Microsoft\Windows\Currentversion\Policies*

2009-4-17 21:02:25    修改注册表值    阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions
值: 0x00000001(1)
规则: [注册表组]恶意设置项 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer; NoFolderOptions

2009-4-17 21:02:25    修改注册表值    阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFind
值: 0x00000001(1)
规则: [注册表组]系统相关设置 -> [注册表]*\Software\Microsoft\Windows\Currentversion\Policies*

2009-4-17 21:02:25    修改注册表值    阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
值: 0x00000000(0)
规则: [注册表组]资源管理器相关设置 -> [注册表]*\Software\Microsoft\Windows\Currentversion\Explorer\Advanced*

2009-4-17 21:02:25    修改注册表值    阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt
值: 0x00000001(1)
规则: [注册表组]资源管理器相关设置 -> [注册表]*\Software\Microsoft\Windows\Currentversion\Explorer\Advanced*

2009-4-17 21:02:25    修改注册表值    阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFileAssociate
值: 0x00000001(1)
规则: [注册表组]系统相关设置 -> [注册表]*\Software\Microsoft\Windows\Currentversion\Policies*

2009-4-17 21:02:25    修改注册表值    阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system\DisableRegedit
值: 0x00000001(1)
规则: [注册表组]恶意设置项 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\*

2009-4-17 21:02:25    修改注册表值    阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun
值: 0x00000001(1)
规则: [注册表组]恶意设置项 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer; NoRun

2009-4-17 21:02:25    修改注册表值    阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system\DisableCMD
值: 0x00000001(1)
规则: [注册表组]恶意设置项 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\*

2009-4-17 21:02:25    修改注册表值    阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\DisableTaskMgr
值: 0x00000001(1)
规则: [注册表组]系统相关设置 -> [注册表]*\Software\Microsoft\Windows\Currentversion\Policies*

2009-4-17 21:02:25    创建注册表项    阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe
规则: [注册表组]系统相关设置 -> [注册表]*\SOFTWARE\Microsoft\Windows*\CurrentVersion\Image File Execution Options*

2009-4-17 21:02:25    创建注册表项    阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe
规则: [注册表组]系统相关设置 -> [注册表]*\SOFTWARE\Microsoft\Windows*\CurrentVersion\Image File Execution Options*

2009-4-17 21:02:25    创建注册表项    阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe
规则: [注册表组]系统相关设置 -> [注册表]*\SOFTWARE\Microsoft\Windows*\CurrentVersion\Image File Execution Options*

2009-4-17 21:02:25    创建注册表项    阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe
规则: [注册表组]系统相关设置 -> [注册表]*\SOFTWARE\Microsoft\Windows*\CurrentVersion\Image File Execution Options*

2009-4-17 21:02:25    创建注册表项    阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe
规则: [注册表组]系统相关设置 -> [注册表]*\SOFTWARE\Microsoft\Windows*\CurrentVersion\Image File Execution Options*

2009-4-17 21:02:25    创建注册表项    阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe
规则: [注册表组]系统相关设置 -> [注册表]*\SOFTWARE\Microsoft\Windows*\CurrentVersion\Image File Execution Options*

2009-4-17 21:02:25    创建注册表项    阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedt32.exe
规则: [注册表组]系统相关设置 -> [注册表]*\SOFTWARE\Microsoft\Windows*\CurrentVersion\Image File Execution Options*

2009-4-17 21:02:25    创建注册表项    阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedt32.exe
规则: [注册表组]系统相关设置 -> [注册表]*\SOFTWARE\Microsoft\Windows*\CurrentVersion\Image File Execution Options*

2009-4-17 21:02:25    创建注册表项    阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TaskMgr.exe
规则: [注册表组]系统相关设置 -> [注册表]*\SOFTWARE\Microsoft\Windows*\CurrentVersion\Image File Execution Options*

2009-4-17 21:02:25    创建注册表项    阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TaskMgr.exe
规则: [注册表组]系统相关设置 -> [注册表]*\SOFTWARE\Microsoft\Windows*\CurrentVersion\Image File Execution Options*

2009-4-17 21:02:25    创建注册表项    阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\attrib.exe
规则: [注册表组]系统相关设置 -> [注册表]*\SOFTWARE\Microsoft\Windows*\CurrentVersion\Image File Execution Options*

2009-4-17 21:02:25    创建注册表项    阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\attrib.exe
规则: [注册表组]系统相关设置 -> [注册表]*\SOFTWARE\Microsoft\Windows*\CurrentVersion\Image File Execution Options*

2009-4-17 21:02:25    修改注册表值    阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\install.exe\Debugger
值: Notepad.exe
规则: [注册表组]系统相关设置 -> [注册表]*\SOFTWARE\Microsoft\Windows*\CurrentVersion\Image File Execution Options*

2009-4-17 21:02:25    修改注册表值    阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe\Debugger
值: Notepad.exe
规则: [注册表组]系统相关设置 -> [注册表]*\SOFTWARE\Microsoft\Windows*\CurrentVersion\Image File Execution Options*

2009-4-17 21:02:25    修改注册表值    阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\h4ck3v1l
值: C:\WINDOWS\h4ck3v1l.vbs
规则: [注册表组]自动运行 -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

2009-4-17 21:02:25    修改注册表值    阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
值: http://www.Aurel666.page.tl/update.zip
规则: [注册表组]IE浏览器设置 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\*

2009-4-17 21:02:25    修改注册表值    阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title
值: Padang Panjang Vx Syndicate
规则: [注册表组]IE浏览器设置 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\*

按照上面的改回去试试

[ 本帖最后由 wsmurderer 于 2009-4-17 21:07 编辑 ]

shierji

这个病毒 - -

太恶心了……

小杨过

中了要怎样解决？
什么都开不到。。。

x_3max

avast   kill！

luxiao200888

2009-4-17 21:21:38        Detected: HEUR:Trojan-Dropper.Script.Generic        C:\Documents and Settings\Owner\桌面\h4ck3v1l.zip/h4ck3v1l.vbs

小杨过

改回去。。。
一下子又限制回去了。。。
只有用threatfire block才可以。。。

sam.to

TO KL

wsmurderer

先删除各盘根目录生成的文件及C:\WINDOWS\h4ck3v1l.vbs

这个病毒太贱了
HKEY_CLASSES_ROOT\regfile\shell\open\command
值被改成了logoff.exe
用第三方注册表编辑器重新改为
regedit.exe "%1"
注册表reg文件才能导入

恢复注册表编辑器

windows registry editor version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000


然后其他的注册表项该删的删，该改的改