昨晚我被一位朋友打来电话抱怨说他以某种方式严重搞砸了Firefox。每次他点击桌面图标时,都会弹出以下错误消息:
当它碰到我的错误信息意味着什么时,我向他解释说这只是一个非常古老的恶作剧的变种,并且鉴于他在高中工作,可能不会花很长时间来确定谁负责。
我让他右键单击快捷方式并查看目标,假设它是VBS。令我惊讶的是,它实际上是指向正确的可执行文件。
更糟糕的是,事实证明他的许多程序都返回了相同的错误,而不仅仅是Firefox。他做了一个没有效果的快速系统恢复,在梳理了他的注册表副本后,我发现什么都没有发现。我弄清楚的是,罪魁祸首实际上是一个VBS,因为任务管理器显示消息是由“wscript.exe”生成的。
所以我的问题是,如果有人将Windows 7 Professional中的大量可执行文件重新路由到wscript主机而不对注册表或策略设置进行任何更改?它也必须是一个相当快速的过程,因为笔记本电脑很少无人看管。
(如果你还没弄清楚这个错误是如何亵渎的话,那就仔细看看大写了)
更新
好吧,如果有人好奇这里是如何做到的:
他们打开记事本并输入:
x=msgbox("Fault, User Class KY: Operation Unsupported", 2+16, "Error")他们将文件保存为something.vbs
虽然仍在记事本中,但他们删除了上一行并输入了
@echo off :start something GOTO start然后他们将其保存为
somethingelse.bat并使用一个简单的python脚本将垃圾追加到文件中,以使其大小与预期目标的大小相匹配。接下来,他们将步骤4生成的批处理编译成exe,给它提供与目标相同的名称,信息和图标,然后在将原始文件移动到垃圾箱后将其移动到相应的文件夹中。
值得庆幸的是,他们至少有礼貌地没有清空垃圾桶(其中仍然有他们的python脚本)所以最后它很容易修复。
1
也许试着弄清楚为什么有些EXE会受到影响,而不是其他的。如果你拿一个你认识的notepad.exe是合法的,并将它放在与你知道的不好的exe相同的目录中。并尝试更改exe的名称,看它是否有任何区别。并看看安全模式是否有任何区别。
—
barlop 2011年
看起来他们都有一些共同点,就是没有一个是受保护的系统文件,没有一个与os捆绑在一起。我按照你的建议尝试了EXE交换(好思考)并发现同名的新exe运行正常。但奇怪的是,我所看到的原始EXE的大小与它们应该的大小完全相同(例如,Firefox和我的笔记本电脑都是891k)。但至少这表明文件本身存在问题。
—
Blomkvist
我猜对我来说,更大的问题是,有人如何能够不受限制地访问他的笔记本电脑足够长时间才能实现这一目标?特别是如果你在像高中这样的环境中工作,那么在你起床离开时不要锁定你的电脑是不负责任的。我建议你借此机会提醒他,锁定电脑真的很容易,他应该这么做。
—
nhinkle
重新更新。你有没有看到他们做这一切?您正在运行已编译的VBS。你有没有运行编译过的BAT?什么是“之间的东西”:开始和GOTO开始?
—
barlop 2011年
冷静,barlop,我知道批处理文件的神秘和复杂世界可能令人沮丧,但我会引导你完成它。如果在批处理中包含类似“something”的字符串,它将按该名称查找可执行文件。在上面的解释中你看到一个名为“something”的可执行文件吗?你去吧
—
Blomkvist