一个奇怪的病毒，不知道有没有人知道

Cyberman.Wu

昨天有人的本子的IE老是访问一个网址（具体忘了，好像是.com.uk的），最后我找到它应该是通过脚本来控制的，因为每次启动能看到一个进程wscript.exe，杀掉之后再改回注册表就好了。现在确认这个脚本执行程序本身应该是没问题的，因为我执行自己写的.vbs文件让它跑起来不会有问题。

现在不知道这个进程是怎么被启动的（常见的地方都没找到），感觉是执行某个脚本，但搜索到的.vbs和.js都看不出哪个可能是有问题的。

唯三色彩

看看他的启动项或者服务里面有没有vbs的启动文件；
wscript.exe是微软Microsoft Windows操作系统脚本相关支持程序，是一个脚本语言解释器，需要他才可正常运行脚本，所以它自身是没有问题，有问题的应该还是那个vbs脚本文件。
搜索脚本的时候可以按照他们的创建时间排序察看比较容易发现。

Cyberman.Wu

启动和服务等常见的各种启动程序的手段中都没看到可疑的脚本；搜索出来的脚本也没找到，因为这台电脑也不是最近两天刚中招的。我用搜索带那个地址文本的.vbs和.js都没找到。

flb_2001

1、你怎么知道是脚本vbs呢
2、你是用什么查杀的

Cyberman.Wu

原帖由 flb_2001 于 2009-8-12 15:35 发表
1、你怎么知道是脚本vbs呢
2、你是用什么查杀的

1、我也没说一定是vbs，wscript.exe支持多种脚本，我搜索了VBScript和JScript。
2、这个是别人的机器，上面原来装的杀病软件都查不出来。我只是人工分析找到可疑的进程wscript.exe，并且确认是它导致不停地回写注册表，而这个是用来执行脚本的。只是我对Windows不是很熟悉，不知道如何得到它是在执行什么脚本，查了注册表等各种地方也没找到是如何被启动起来的。

唯三色彩

最好还是使用一些工具来简单分析下，比如冰韧、autoruns等等，因为很多情况下，病毒的启动注册表项或者文件都是隐藏起来的，很难被发现。

游戏v人生

我没有但是来预防

flb_2001

用windows进程管理大师看看

Cyberman.Wu

昨天又有哥们中招，所兴把它搞定了，上次不知道为啥在注册表中用wscript.exe没有找出来，这个病毒是通过改写HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit把自己追加上去完成自启动的，以前还不知道这种方式。也算一个U盘病毒，不过也没干特别坏的事，除了传播自己还删除两个特定的.vbs文件（不属于WinXP）。

详细分析不写了，现在出差只能蹭网，网络时好时坏。奇怪的是我用vim排版之后感觉多了一个End If，看来还是要在虚拟机环境中运行测试一下。