一直出現 realhowto+亂數+.vbs 的檔案 , 請問如何解決?

病毒 vbs vbscript realhowto.vbs 勒索病毒

cpc0935 2018-03-13 13:21:41 ‧ 5616 瀏覽

我們有一台Windows server 2008 主機，發現在
C:\Users\Administrator\AppData\Local\Temp
一直持續產生一個奇怪檔案 realhowto+亂數+.vbs ，約每20~25分鐘出現5~6個。我將它刪除了也一直定時跑出來。
檔名如 realhowto913559247497737005.vbs

這個VBS內容是這樣：
'---------------------------------------------------------
Set objWMIService = GetObject("winmgmts:\.\root\cimv2")
Set colItems = objWMIService.ExecQuery _
("Select Manufacturer from Win32_ComputerSystem")
For Each objItem in colItems
Wscript.Echo objItem.Manufacturer
Next
'---------------------------------------------------------

看出來是在執行蒐集系統資料。
好在我已將這台電腦的registry的WindowsScriptHost設Enabled=0，所以vbs執行不起來。

公司每台電腦都有安裝卡巴斯基防毒。

請問有誰知道解法嗎?

看更多先前的討論...收起先前的討論...

Daniel iT邦新手 2 級 ‧ 2018-03-13 15:22:06 檢舉

Kaspersky 有救援光碟，你用這個再掃掃看

cpc0935 iT邦研究生 5 級 ‧ 2018-03-13 16:00:38 檢舉

我有用卡巴掃毒過了，你是說用其救援光碟再掃一次? 請問有何差別?

zyman2008 iT邦大師 6 級 ‧ 2018-03-13 17:25:05 檢舉

看一下 task scheduler 有沒有被埋奇怪的task

cpc0935 iT邦研究生 5 級 ‧ 2018-04-19 16:15:02 檢舉

案情進展：

幾周前xx公司承認是他們ERP系統的一支網頁程式所產生了。症狀就是執行登入其網頁時寫三個，登出有寫三個，不論user，所以才會每天冒出幾時上百個vbs，真是嚇人。

其實剛開始發現時我就問過他們客服，他們說絕不是他們系統所為，我只好google再google，問這問那的。

後來發現這堆vbs檔案在上班時才會出現，下班就跟著下班。於是花了好幾天下班晚上時間，在多台電腦試著執行同仁會用到各種程式，並同時監看主機狀態，才發現就是這支網頁程式搞的鬼。

此問題獲得解決了。

今天客服更新了程式。現在是執行其登入網頁畫面時，才會產生此檔案，但是會放到專屬區，而且僅會有一個檔案存在。所以同意結案。

然而為安全起見，我們還是設定主機不允執行此vbs檔案的。

這段過程當中出現案外案：
剛開始時一直朝著中毒的方向思考，而客服很肯定說與他們ERP系統無關。也好意轉此案轉給所謂'工程部門'。他們連入看了幾分鐘後，告訴我說中毒了，因我們沒簽工程維護合約，所以要收費。我就說好吧，報價來吧! ... 看了報價，眼鏡差點掉下來。

說太長了，休息一下囉。

登入發表討論