iT邦幫忙

0

一直出現 realhowto+亂數+.vbs 的檔案 , 請問如何解決?

  • 分享至 

  • xImage

我們有一台Windows server 2008 主機,發現在
C:\Users\Administrator\AppData\Local\Temp
一直持續產生一個奇怪檔案 realhowto+亂數+.vbs , 約每20~25分鐘出現5~6個。我將它刪除了也一直定時跑出來。
檔名如 realhowto913559247497737005.vbs
https://ithelp.ithome.com.tw/upload/images/20180313/20029618Tsle9X14ya.png

這個VBS內容是這樣:
'---------------------------------------------------------
Set objWMIService = GetObject("winmgmts:\.\root\cimv2")
Set colItems = objWMIService.ExecQuery _
("Select Manufacturer from Win32_ComputerSystem")
For Each objItem in colItems
Wscript.Echo objItem.Manufacturer
Next
'---------------------------------------------------------

看出來是在執行蒐集系統資料。
好在我已將這台電腦的registry的WindowsScriptHost設Enabled=0,所以vbs執行不起來。

公司每台電腦都有安裝卡巴斯基防毒。

請問有誰知道解法嗎?

看更多先前的討論...收起先前的討論...
Daniel iT邦新手 2 級 ‧ 2018-03-13 15:22:06 檢舉
Kaspersky 有救援光碟,你用這個再掃掃看
cpc0935 iT邦研究生 5 級 ‧ 2018-03-13 16:00:38 檢舉
我有用卡巴掃毒過了,你是說用其救援光碟再掃一次? 請問有何差別?
zyman2008 iT邦大師 6 級 ‧ 2018-03-13 17:25:05 檢舉
看一下 task scheduler 有沒有被埋奇怪的task
cpc0935 iT邦研究生 5 級 ‧ 2018-04-19 16:15:02 檢舉
案情進展:

幾周前xx公司承認是他們ERP系統的一支網頁程式所產生了。症狀就是執行登入其網頁時寫三個,登出有寫三個,不論user,所以才會每天冒出幾時上百個vbs,真是嚇人。

其實剛開始發現時我就問過他們客服,他們說絕不是他們系統所為,我只好google再google,問這問那的。

後來發現這堆vbs檔案在上班時才會出現,下班就跟著下班。於是花了好幾天下班晚上時間,在多台電腦試著執行同仁會用到各種程式,並同時監看主機狀態,才發現就是這支網頁程式搞的鬼。

此問題獲得解決了。

今天客服更新了程式。現在是執行其登入網頁畫面時,才會產生此檔案,但是會放到專屬區,而且僅會有一個檔案存在。所以同意結案。

然而為安全起見,我們還是設定主機不允執行此vbs檔案的。

這段過程當中出現案外案:
剛開始時一直朝著中毒的方向思考,而客服很肯定說與他們ERP系統無關。也好意轉此案轉給所謂'工程部門'。他們連入看了幾分鐘後,告訴我說中毒了,因我們沒簽工程維護合約,所以要收費。我就說好吧,報價來吧! ... 看了報價,眼鏡差點掉下來。

說太長了,休息一下囉。
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 個回答

0
haoming
iT邦好手 1 級 ‧ 2018-03-13 16:30:37

這個 症狀有像喔

cpc0935 iT邦研究生 5 級 ‧ 2018-03-13 16:52:57 檢舉

對! 吻合,但我依據他說的registry找,沒有那機碼。也搜尋硬碟所有與JavaUpdate.jar"相關的檔案及registry機碼,都沒有。

我要發表回答

立即登入回答