我在 Skype 上收到了一个 .vbs 文件并运行了它。请告诉我它是否有任何作用?
答案1
它被混淆了,你可以肯定它不是良性的。认为你运行它的计算机不再“安全”。这意味着不要用它做任何银行业务,不要在网上订购任何东西,也不要相信那台机器。
在另一台已知未被感染的机器上,更改所有帐户的密码,然后不要从受感染的计算机访问这些帐户。
明智的做法是,从已知良好的媒体重新格式化您运行脚本的计算机,最好在启动该媒体时在 BIOS/UEFI 中启用安全启动。
答案2
如果你仍然担心你的电脑可能发生了什么,请查看这(出于安全原因,行保留为字符串)。如果您不知道自己在做什么,请不要尝试执行此代码。我现在在工作,所以我无法深入分析此代码,但它看起来不太好。从快速概览中,我发现有
- 文件和文件夹篡改
- 注册表篡改(尤其是启动程序)
- 发送请求(我注意到一个特定的域名 - kingprog.publicvm.com,但可能还有很多其他的)
- 驱动器篡改
您可能需要请别人检查一下,或者等几个小时,直到我回家,我会向您提供更多信息。
我仍然强烈建议你听从 headkase 的建议。
编辑如果不清楚,附件链接是反混淆的 vbs 代码
答案3
我解码了这个 vbscript 代码!
可疑文件位于此文件夹中%Appdata%
并检查您的注册表中是否有任何可疑条目:
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run
和
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run
我编写了一个 vbscript,可以发现后台运行的任何可疑的 vbscript 文件。
因此,此代码可以检索位置并复制此可疑 vbscript 文件的源代码:只需复制并粘贴即可查找任何运行中的Vbs代码.vbs双击运行:
Option Explicit
Dim Title,colItems,objItem,FilePath,ws
Dim MyProcess,LogFile,fso,Contents,arrCommandLine
MyProcess = "Wscript.exe"
Title = "Searching for instances of "& DblQuote(MyProcess) &" by Hackoo 2016"
Set fso = CreateObject("Scripting.FileSystemObject")
Set ws = CreateObject("WScript.Shell")
LogFile = Left(Wscript.ScriptFullName, InstrRev(Wscript.ScriptFullName, ".")) & "txt"
If fso.FileExists(LogFile) Then
fso.DeleteFile(LogFile)
End If
Set colItems = GetObject("winmgmts:").ExecQuery("Select * from Win32_Process " _
& "Where Name like '%"& MyProcess &"%' AND NOT commandline like '%" & wsh.scriptname & "%'",,48)
For Each objItem in colItems
arrCommandLine = Split(objItem.CommandLine,DblQuote(" "))
'msgbox objItem.CommandLine
If arrCommandLine(1) = "/c" Then
'msgbox arrCommandLine(2)
FilePath = Replace(arrCommandLine(2),chr(34),"")
else
'msgbox arrCommandLine(1)
FilePath = Replace(arrCommandLine(1),chr(34),"")
end if
FilePath = Trim(FilePath)
Msgbox "A suspicious file is running at this location : " & vbCrLF & DblQuote(FilePath),vbExclamation,Title
If Len(FilePath) > 0 Then
Contents = ReadFile(FilePath,"all")
Call WriteLog(DblQuote(FilePath) & vbCrlf & String(100,"*")& vbCrlf &_
Contents & vbCrlf & String(100,"*") & vbCrlf,LogFile)
End If
Next
If fso.FileExists(LogFile) Then
ws.run DblQuote(LogFile)
Else
MsgBox "No running instances found for this process " &_
DblQuote(MyProcess),vbExclamation,Title
End If
'**************************************************
Function DblQuote(Str)
DblQuote = Chr(34) & Str & Chr(34)
End Function
'**************************************************
Function ReadFile(path,mode)
Const ForReading = 1
Dim objFSO,objFile,i,strLine
Set objFSO = CreateObject("Scripting.FileSystemObject")
Set objFile = objFSO.OpenTextFile(path,ForReading)
If mode = "byline" then
Dim arrFileLines()
i = 0
Do Until objFile.AtEndOfStream
Redim Preserve arrFileLines(i)
strLine = objFile.ReadLine
strLine = Trim(strLine)
If Len(strLine) > 0 Then
arrFileLines(i) = strLine
i = i + 1
ReadFile = arrFileLines
End If
Loop
objFile.Close
End If
If mode = "all" then
ReadFile = objFile.ReadAll
objFile.Close
End If
End Function
'***************************************************
Sub WriteLog(strText,LogFile)
Dim fso,ts
Const ForAppending = 8
Set fso = CreateObject("Scripting.FileSystemObject")
Set ts = fso.OpenTextFile(LogFile,ForAppending,True,-1)
ts.WriteLine strText
ts.Close
End Sub
'***************************************************