De bestanden zien er normaal uit heb je vbs script al uitgeschakeld ?
in vbs kan een dos bestand zichzelf direct verwijderen als het in werking is gesteld !
30 december 2007 15:18
blacksorcerer
[color=blue]Titel veranderd van "Erg, heel erg virus" naar "'Virus' dat de pc afsluit"[/color]
30 december 2007 15:27
kazmi
Na een hoop zoeken naar het VBS geval wat druipsnuit heeft mee gedeeld, kwam ik tegen dat ongeveer 90% van de virusen worcht geactiveerd door 'Windows Scripting Host'. Niet echt interessant leek mij, maar er stond ook bij dat het om .vbs bestanden ging. Visual Basic Scripts. Uiteindelijk heb ik een manier gevonden om WSH uit te schakelen. Hierna zou het .vbs bestand zich niet meer kunnen uitvoeren, en zou de melding dus weg blijven. Vervolgens kan je dat bestand, en alles wat er bij hoort, verwijderen.
[code]
1) Klik op 'Start', open 'Instellingen' (Settings) en open vervolgens het
'Configuratiescherm' (Control Panel).
2) Kies 'Software' (Add/Remove Programs) en klik op het tabblad 'Windows setup'.
3) Dubbelklik op 'Accessories' en zoek naar 'Windows Scripting Host'.
4) Zorg ervoor dat de optie voor 'Windows Scripting Host' uitstaat en bewaar deze instellingen.
[/code]
Ook vond ik een voorbeeld van de mogelijke script.
[code]
Set OpSysSet = GetObject("winmgmts:{(Shutdown)}//./root/cimv2").ExecQuery("select * from Win32_OperatingSystem where Primary=true")
[mist wat]OpSys.ShutDown()
next
[/code]
en
[code]
[Mist wat]
Shl.RegWrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Start menu",winfolder & "je filenaam"
[/code]
De laatste is interessant omdat deze iets toevoegd aan je opstart sequentie. De reg.key zou je ook kunnen na lopen in Regedit
30 december 2007 18:46
mattnl
[quote=99054]Dank je wel maar ik kan niet eens Windows Scripting Host in die lijst vinden :S .
30 december 2007 18:53
druipsnuit
knap zoekwerk Kazmi, laat ik ook gelij ff melden dat .vbe het zelfde kan doen als .vbs dus als je windows scripting host niet uitschakeld kun je ook naar dat soort extensies zoeken
Misschien ff googlen ? (heb zlef nie zoveel tijd om te zoeken :$)
als je slim bent dan zet je bestand extensies weergeven aan onder mappopties,
dan weet je direct met wat voor bestanden je te maken hebt
30 december 2007 18:54
ali
Uhm..
start>run> msconfig > opstarten en services.. alles uitvinken behalve dingen waarvan je zeker weet dat het OK is?
30 december 2007 20:43
unknown
@ali hij kan beter services.msc gebruiken, bij msconfig kun je ook cruciale windows services onbewust uitschakelen.
30 december 2007 20:46
lordievader
Zeg bij Zoeken (van windows zelf) gewoon: *.vbs en daarna: *.vbe dan krijg je alle bestanden met die extensie die op jouw PC voorkomen (moet je natuurlijk de verborgen en systeem bestanden ook laten doorzoeken.)
30 december 2007 23:39
kazmi
Aaahrg! Stomme fout, artikel ging over Windows 98.
Maargoed. Dan doen we het anders. Windows kijk alleen naar de extentie, en bepaalt dan wat het er mee gaat doen. Door de verwijzing tussen de extentie en Windows Scripting Host te verwijderen, kan windows geen .VSE en .VSB extenties meer uitvoeren.
Gaat het dan om een Visualbasic script, dan wordt deze niet meer uitgevoerd.
[code]
XP:
1) Open 'Deze Computer'
2) Ga in het menutje boven aan, naar 'Extra'
3) Kies 'Mapopites...' in dat menu
4) Kies het tabblad 'Bestandstypen'
5) Zoek .VSE en .VSB in de lijst die gegeven wordt
6) Selecteer deze, en klik op de knop 'Verwijderen'
[/code]
En dan de rest van de vorige post volgen; het zoeken etc.
ik heb precies hetzelfde probleem gekregen. ik had hem eerst toen in veilige modes aangedaan en toen bij uitvoeren > msconfig ingevult en toen bij opstarten zag ik dat alles behalve 1 programma/file .exe was en deze was een .bat die heb ik dus verwijderd en nu doet hij het gelukkig weer :P hij stond bij mij niet bij C:\Documents en Settings\user maar in C:\Windows\SoftwareDistrubution\Datastore\Log\(Bestandje) dit werkte gelukkig