snpier wolf
Messages postés216Date d'inscriptionsamedi 11 août 2007StatutMembreDernière intervention30 mai 2011
-
17 août 2008 à 20:18
snpier wolf
Messages postés216Date d'inscriptionsamedi 11 août 2007StatutMembreDernière intervention30 mai 2011
-
18 août 2008 à 15:33
bonjour à tous,
j'ais trouvé un fichier bizarre sur mon pc.
comme je ne connait pas le jvs je vous demande se que peu bien faire ce script si il est malveillant ou pas.
<SCRIPT language="vbscript">
Dim fso
set fso = CreateObject("Scripting.FileSystemObject")
If Navigator.cpuClass = "x86" AND fso.FileExists(fso.GetSpecialFolder(0)+"\BtwIEProxy.Exe") Then
' running 32-bit IE under 64-bit O/S, use proxey
dim commandLine, WshShell
Dim tfolder, tname, tfile
Const TemporaryFolder = 2
Const CMD_SEND_IMAGE = 1
Const CMD_SEND_PAGE = 2
Const CMD_CAN_SEND_PICTURES = 3
Const CMD_SET_WAIT_CURSOR = 4
Set tfolder = fso.GetSpecialFolder(TemporaryFolder)
tname = fso.GetTempName
Set tfile = tfolder.CreateTextFile(tname, true, true)
If bSendPictures Then
'Find the BASE tag
baseURL = ""
For i = 0 To 100000 'a very big integer must be used
Set obj = doc.all(i)
If (obj Is Nothing) Then
Exit For
End If
tagName = UCase(obj.tagName)
If (tagName = "BASE") Then
baseURL = obj.getAttribute("HREF", 2)
Exit For
End If
Next
tFile.WriteLine baseURL
For i = 0 To 100000 'a very big integer must be used
Set obj = doc.all(i)
If (obj Is Nothing) Then
Exit For
End If
tagName = UCase(obj.tagName)
If ((tagName = "IMG") or _
(tagName = "APPLET") or _
(tagName = "EMBED") or _
(tagName = "FRAME") or _
(tagName = "IFRAME") or _
(tagName = "SCRIPT")) Then
ElseIf (tagName = "INPUT") Then
typeU = UCase(obj.type)
If (typeU = "IMAGE") Then
srcOld = obj.getAttribute("SRC", 2)
tFile.WriteLine "1="+srcOld
End If
ElseIf ((tagName = "A") or _
(tagName = "LINK") or _
(tagName = "AREA")) Then
rel = obj.getAttribute("REL", 2)
If rel <> "" Then
relU = UCase(rel)
If (relU = "STYLESHEET") Then
hrefOld = obj.getAttribute("HREF", 2)
tFile.WriteLine "1="+hrefOld
ElseIf (baseURL <> "") Then
href = obj.getAttribute("HREF", 2)
tFile.WriteLine "2="+href
End If
End If
ElseIf ((tagName = "BODY") or _
(tagName = "TABLE") or _
(tagName = "TD") or _
(tagName = "TH")) Then
backgroundOld = obj.getAttribute("BACKGROUND", 2)
If backgroundOld <> "" Then
tFile.WriteLine "1="+backgroundOld
End If
End If
Next
End If
tfile.Close
commandLine = "%windir%\BtwIEProxy.exe 2 " + chr(34) + tfolder + "" + tname+ chr(34)
Set WshShell = CreateObject("WScript.Shell")
call WshShell.Run (commandLine,8,true)
fso.DeleteFile tfolder + "" +tname
set WshShell=nothing
Else
' either running 64-bit O/S and 64-bit IE or running 32-bit O/S and 32-bit IE, so use COM obj
Set doc = external.menuArguments.document
Set btIEIntegration = CreateObject("BtSendto_IE.BTIEIntegration")
If bSendPictures Then
'Find the BASE tag
baseURL = ""
For i = 0 To 100000 'a very big integer must be used
Set obj = doc.all(i)
If (obj Is Nothing) Then
Exit For
End If
tagName = UCase(obj.tagName)
If (tagName = "BASE") Then
baseURL = obj.getAttribute("HREF", 2)
Exit For
End If
Next
btIEIntegration.SaveDocumentBase(baseURL)
For i = 0 To 100000 'a very big integer must be used
Set obj = doc.all(i)
If (obj Is Nothing) Then
Exit For
End If
tagName = UCase(obj.tagName)
If ((tagName = "IMG") or _
(tagName = "APPLET") or _
(tagName = "EMBED") or _
(tagName = "FRAME") or _
(tagName = "IFRAME") or _
(tagName = "SCRIPT")) Then
ElseIf (tagName = "INPUT") Then
typeU = UCase(obj.type)
If (typeU = "IMAGE") Then
srcOld = obj.getAttribute("SRC", 2)
srcNew = btIEIntegration.MapUrlToLocalFile(srcOld)
btIEIntegration.ReplaceSrcAttribute srcOld, srcNew
End If
ElseIf ((tagName = "A") or _
(tagName = "LINK") or _
(tagName = "AREA")) Then
rel = obj.getAttribute("REL", 2)
If rel <> "" Then
relU = UCase(rel)
If (relU = "STYLESHEET") Then
hrefOld = obj.getAttribute("HREF", 2)
hrefNew = btIEIntegration.MapUrlToLocalFile(hrefOld)
btIEIntegration.ReplaceSrcAttribute hrefOld, hrefNew
ElseIf (baseURL <> "") Then
href = obj.getAttribute("HREF", 2)
btIEIntegration.MakeAbsoluteUrl(href)
End If
End If
ElseIf ((tagName = "BODY") or _
(tagName = "TABLE") or _
(tagName = "TD") or _
(tagName = "TH")) Then
backgroundOld = obj.getAttribute("BACKGROUND", 2)
If backgroundOld <> "" Then
backgroundNew = btIEIntegration.MapUrlToLocalFile(backgroundOld)
btIEIntegration.ReplaceSrcAttribute backgroundOld, backgroundNew
End If
End If
Next
End If
btIEIntegration.SendPage
btIEIntegration.Cleanup
sStatusString = btIEIntegration.LoadDoneString
external.menuArguments.status = sStatusString
End If
</SCRIPT>
je vous remerci d'avence.
cs_Chatbour
Messages postés764Date d'inscriptionjeudi 27 juillet 2006StatutMembreDernière intervention 6 septembre 201018 17 août 2008 à 22:52
Salut,
c'est plutôt du VBScript..
_____________________
Vos avis et critiques sur le livre "Objets réactifs en java" de Frédéric Boussinot : contactez moi par MP..
http://books.go%3C/body
cs_bultez
Messages postés13615Date d'inscriptionjeudi 13 février 2003StatutMembreDernière intervention15 octobre 201330 18 août 2008 à 11:22
bonjour,
>>mais svp dit moi, sa ne fait rien de mal hien ?
si tu as le moindre doute... vire et n'exécute pas !
ce doit être le seul reflêxe.
déjà ça te lance l'exécutable : %windir%\BtwIEProxy.exe...
ne connaissant pas, je ne saurais te dire ce que ça fait.
Cordialement Bul [mon Site] [M'écrire], <!--
PCPT
Messages postés13272Date d'inscriptionlundi 13 décembre 2004StatutMembreDernière intervention 3 février 201847 18 août 2008 à 14:49
salut,
l'exe semble faire parti des pilotes BLUETOOTH
le code semble parser du HTML
++
<hr size="2" width="100%" />Prenez un instant pour répondre à [infomsg_SONDAGE-POP3-POUR-CS_769706.aspx ce sondage] svp
cs_bultez
Messages postés13615Date d'inscriptionjeudi 13 février 2003StatutMembreDernière intervention15 octobre 201330 18 août 2008 à 15:13
quand je dis viré, c'est : si récupération bizarre de je ne sais où !
si comme le suppute PCPT ça fait partie des pilotes BLUETOOTH ou autres,
que c'est partie intégrante dy système... pas touche.
ça dépend où c'est (répertoire.. ) , d'où ça vient...
mais si on vire maladroitement, le système de restauration fera ce qui'l faut.
Cordialement Bul [mon Site] [M'écrire], <!--
PCPT
Messages postés13272Date d'inscriptionlundi 13 décembre 2004StatutMembreDernière intervention 3 février 201847 18 août 2008 à 15:20
à noter que même si "on s'y connait", si on commence à supprimer tout ce qui se trouve dans "WINDOWS" (ou tout autre répertoire système) juste parce qu'on ne connait pas..., même la restauration va se poser des questions
snpier wolf
Messages postés216Date d'inscriptionsamedi 11 août 2007StatutMembreDernière intervention30 mai 2011 18 août 2008 à 15:23
enfaite c bien dans le dossier du bluetooth, je l'ais trouver avec HijackThis dans le système d'amorçage.
comme il portai l'extension htm je me suis demander si il était pas dangereux mais appartement du fait que tu me dis qu'il active le bluetooth je vais le laisser, je ne l'avait pas supprimer mais renommé pour ne pas perdre des truc si jamais et heureusement à parament. brèf je vous remerci tous pour votre aide c'est sympas d'avoir pris impeut de temps pour moi merci
cs_bultez
Messages postés13615Date d'inscriptionjeudi 13 février 2003StatutMembreDernière intervention15 octobre 201330 18 août 2008 à 15:31
PCPT++
j'aurais du être plus explicite ( ça me semblait évident, mais mon foie, finalement pas tant que cela ! )
virer ne s'applique qu'à des "téléchargements suspects"
Cordialement Bul [mon Site] [M'écrire], <!--