标题: [原创]一个logo1_.exe(威金病毒)免疫P处理 [打印本页]
作者: chengbiner 时间: 2006-12-4 02:40 标题: [原创]一个logo1_.exe(威金病毒)免疫P处理
代码很简单,我会的也不多,
还向大家多多学习
@Echo Off
color 0a
title logo1_.exe病毒免疫工具(Biner)
TASKKILL /F /IM logo1_.exe
TASKKILL /F /IM rundl132.exe
:0
cls
@echo off
color 0a
echo.
echo.
echo [1] logo1_exe 病毒免疫 [2] logo1_exe病毒小知识
echo.
echo.
echo. [3] logo1_exe 病毒免疫解除 [4] 清除所有_desktop.ini文件
echo (DOS帝国社区:2097500)
Set /P Choice= 请输入你的选择:
Echo.
If '%Choice%'=='' goto 0
If /I '%Choice%'=='1' GOTO 1
If /I '%Choice%'=='2' GOTO 2
If /I '%Choice%'=='3' GOTO 3
If /I '%Choice%'=='4' GOTO cb
Goto 0
:1
cls
color 05
If Exist %windir%\logo1_.exe Del /F /S /Q %windir%\logo1_.exe>nul 2>nul
md %windir%\logo1_.exe\>nul 2>nul
md %windir%\logo1_.exe\禁止logo1创建病毒的..\>nul 2>nul
attrib +s +h +r %windir%\logo1_.exe>nul 2>nul
If Exist %windir%\rundl132.exe Del /F /S /Q %windir%\rundl132.exe>nul 2>nul
md %windir%\rundl132.exe\>nul 2>nul
md %windir%\rundl132.exe\禁止rundl132创建病毒的..\>nul 2>nul
attrib +s +h +r %windir%\rundl132.exe>nul 2>nul
cls
Echo.
echo 恭喜你logo1_.exe病毒免疫成功!
echo.
echo.
echo.
echo 你会在window下看到以logo1_.exe和rundl132.exe命名的文件夹
echo 请不要删除,其实也删除不了的!
ping 127.1 -n 5 >nul
del /f /s /q "%Temp%\*.bat"
goto 0
:2
cls
echo 该病毒为Windows平台下集成可执行文件感染、网络感染、通过网络下载木马、后门程序或其它病毒的复合型病毒,病毒运行后将自身伪装成系统正常文件,以迷惑用户,通过修改注册表项使病毒开机时可以自动运行,同时病毒通过线程注入技术绕过防火墙的监视,连接到病毒作者指定的网站下载特定的木马或其它病毒,同时病毒运行后枚举内网的所有可用共享,并尝试通过弱口令方式攻击其它机器,进而感染目标计算机。>>logo.txt
echo 运行过程过感染用户机器上的可执行文件,造成用户机器运行速度变慢,破坏用户机器的可执行文件,给用户安全性构成危害。>>logo.txt
echo 病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。>>logo.txt
echo 1、病毒运行后将自身复制到Windows文件夹下,文件名为:>>logo.txt
echo %Windir%\rundl132.exe>>logo.txt
echo 2、运行被感染的文件后,病毒将病毒体复制到为以下文件:>>logo.txt
echo %Windir%\logo_1.exe>>logo.txt
echo 3、同时病毒会在病毒文件夹下生成:>>logo.txt
echo %病毒当前目录下%\vidll.dll>>logo.txt
echo 4、病毒从Z盘开始向前搜索所有可用分区中的exe文件,然后感染所有大小27kb-10mb的可执行文件,感染完毕在被感染的文件夹中生成:>>logo.txt
echo _desktop.ini (文件属性:系统、隐藏。)>>logo.txt
echo 5、病毒会尝试修改%SysRoot%\system32\drivers\etc\hosts文件。>>logo.txt
echo 6、病毒通过添加如下注册表项实现病毒开机自动运行:>>logo.txt
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]>>logo.txt
echo "load"="%Windir%\rundl132.exe">>logo.txt
echo [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]>>logo.txt
echo "load"="%Windir%\rundl132.exe">>logo.txt
echo 7、病毒运行时尝试查找窗体名为:"RavMonClass"的程序,查找到窗体后发送消息关闭该程序。>>logo.txt
echo 8、枚举以下杀毒软件进程名,查找到后终止其进程:>>logo.txt
echo Ravmon.exe>>logo.txt
echo Eghost.exe>>logo.txt
echo Mailmon.exe>>logo.txt
echo KAVPFW.EXE>>logo.txt
echo IPARMOR.EXE>>logo.txt
echo Ravmond.exe>>logo.txt
echo regsvc.exe>>logo.txt
echo RavMon.exe>>logo.txt
echo mcshield.exe>>logo.txt
echo 9、同时病毒尝试利用以下命令终止相关杀病毒软件:>>logo.txt
echo net stop "Kingsoft AntiVirus Service">>logo.txt
echo 10、发送ICMP探测数据"Hello,World",判断网络状态,网络可用时,>>logo.txt
echo 枚举内网所有共享主机,并尝试用弱口令连接\\IPC$、\admin$等共享目录,连接成功后进行网络感染。>>logo.txt
echo 11、感染用户机器上的exe文件,但不感染以下文件夹中的文件:>>logo.txt
echo system>>logo.txt
echo system32>>logo.txt
echo windows>>logo.txt
echo Documents and settings>>logo.txt
echo system Volume Information>>logo.txt
echo Recycled>>logo.txt
echo winnt>>logo.txt
echo Program Files>>logo.txt
echo Windows NT>>logo.txt
echo WindowsUpdate>>logo.txt
echo Windows Media Player>>logo.txt
echo Outlook Express>>logo.txt
echo Internet Explorer>>logo.txt
echo ComPlus Applications>>logo.txt
echo NetMeeting>>logo.txt
echo Common Files>>logo.txt
echo Messenger>>logo.txt
echo Microsoft Office>>logo.txt
echo InstallShield Installation Information>>logo.txt
echo MSN>>logo.txt
echo Microsoft Frontpage>>logo.txt
echo Movie Maker>>logo.txt
echo MSN Gaming Zone>>logo.txt
echo 12、枚举系统进程,尝试将病毒dll(vidll.dll)选择性注入以下进程名对应的进程:>>logo.txt
echo Explorer >>logo.txt
echo Iexplore>>logo.txt
echo 找到符合条件的进程后随机注入以上两个进程中的其中一个。>>logo.txt
echo 13、当外网可用时,被注入的dll文件尝试连接以下网站下载并运行相关程序:>>logo.txt
echo http://www.flysky168.com/han/xz/11.exe>>logo.txt
echo http://www.flysky168.com/han/xz/22.exe>>logo.txt
echo http://www.flysky168.com/han/xz/33.exe>>logo.txt
echo http://www.flysky168.com/han/xz/44.exe>>logo.txt
echo http://www.flysky168.com/han/xz/55.exe>>logo.txt
echo http://www.flysky168.com/han/xz/66.exe>>logo.txt
echo 14、病毒下载成功后写入以下注册表项:>>logo.txt
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]>>logo.txt
echo "auto"="1">>logo.txt
notepad logo.txt
del logo.txt
goto 0
:3
cls
color 04
echo.
echo.
echo.
echo 如果解除会有感染logo1_.exe病毒的危险!!!!!
echo.
echo.
Set /P Choice= 如果要继续进行操作请选择:[Y/N]
If /I '%Choice%'=='Y' GOTO Y
If /I '%Choice%'=='N' GOTO 0
PAUSE >NUL
:Y
If Exist %windir%\logo1_.exe Del /F /S /Q %windir%\logo1_.exe>nul 2>nul
rd %windir%\logo1_.exe\>nul 2>nul
rd %windir%\logo1_.exe\禁止logo1创建病毒的..\>nul 2>nul
attrib -s -h -r %windir%\logo1_.exe>nul 2>nul
rd %windir%\logo1_.exe
If Exist %windir%\rundl132.exe Del /F /S /Q %windir%\rundl132.exe>nul 2>nul
rd %windir%\rundl132.exe\>nul 2>nul
rd %windir%\rundl132.exe\禁止rundl132创建病毒的..\>nul 2>nul
attrib -s -h -r %windir%\rundl132.exe>nul 2>nul
rd %windir%\rundl132.exe
cls
Echo.
echo.
echo.
echo.
echo 恭喜你logo1_.exe病毒免疫解除成功!
ping 127.1 -n 3 >nul
goto 0
:cb
cls
@echo off
color 06
echo.
echo.
echo.
echo.
echo 正在扫描_desktop.ini文件……
if exist "%tmp%\note.txt" del /a "%tmp%\note.txt" >nul 2>nul
set num=0
setlocal enabledelayedexpansion
for %%i in (c d e f g h i j k l m n o p q r s t u v w x y z) do (
if exist %%i: (
cd\
for /f "tokens=*" %%a in ('dir /s /a-d /b %%i:\_desktop.ini') do (
echo %%a>>"%tmp%\note.txt"
set /a num=!num!+1
del /q /a /f "%%a"
)
)
)
cls
echo 共删除文件: %num%个
if not "%num%"=="0" start "" "%tmp%\note.txt"
echo 恭喜你已全部删除_desktop.ini文件!
ping 127.1 -n 3 >nul
goto 0
欢迎加入DOS帝国社区:2097500color 0a
title logo1_.exe病毒免疫工具(Biner)
TASKKILL /F /IM logo1_.exe
TASKKILL /F /IM rundl132.exe
:0
cls
@echo off
color 0a
echo.
echo.
echo [1] logo1_exe 病毒免疫 [2] logo1_exe病毒小知识
echo.
echo.
echo. [3] logo1_exe 病毒免疫解除 [4] 清除所有_desktop.ini文件
echo (DOS帝国社区:2097500)
Set /P Choice= 请输入你的选择:
Echo.
If '%Choice%'=='' goto 0
If /I '%Choice%'=='1' GOTO 1
If /I '%Choice%'=='2' GOTO 2
If /I '%Choice%'=='3' GOTO 3
If /I '%Choice%'=='4' GOTO cb
Goto 0
:1
cls
color 05
If Exist %windir%\logo1_.exe Del /F /S /Q %windir%\logo1_.exe>nul 2>nul
md %windir%\logo1_.exe\>nul 2>nul
md %windir%\logo1_.exe\禁止logo1创建病毒的..\>nul 2>nul
attrib +s +h +r %windir%\logo1_.exe>nul 2>nul
If Exist %windir%\rundl132.exe Del /F /S /Q %windir%\rundl132.exe>nul 2>nul
md %windir%\rundl132.exe\>nul 2>nul
md %windir%\rundl132.exe\禁止rundl132创建病毒的..\>nul 2>nul
attrib +s +h +r %windir%\rundl132.exe>nul 2>nul
cls
Echo.
echo 恭喜你logo1_.exe病毒免疫成功!
echo.
echo.
echo.
echo 你会在window下看到以logo1_.exe和rundl132.exe命名的文件夹
echo 请不要删除,其实也删除不了的!
ping 127.1 -n 5 >nul
del /f /s /q "%Temp%\*.bat"
goto 0
:2
cls
echo 该病毒为Windows平台下集成可执行文件感染、网络感染、通过网络下载木马、后门程序或其它病毒的复合型病毒,病毒运行后将自身伪装成系统正常文件,以迷惑用户,通过修改注册表项使病毒开机时可以自动运行,同时病毒通过线程注入技术绕过防火墙的监视,连接到病毒作者指定的网站下载特定的木马或其它病毒,同时病毒运行后枚举内网的所有可用共享,并尝试通过弱口令方式攻击其它机器,进而感染目标计算机。>>logo.txt
echo 运行过程过感染用户机器上的可执行文件,造成用户机器运行速度变慢,破坏用户机器的可执行文件,给用户安全性构成危害。>>logo.txt
echo 病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。>>logo.txt
echo 1、病毒运行后将自身复制到Windows文件夹下,文件名为:>>logo.txt
echo %Windir%\rundl132.exe>>logo.txt
echo 2、运行被感染的文件后,病毒将病毒体复制到为以下文件:>>logo.txt
echo %Windir%\logo_1.exe>>logo.txt
echo 3、同时病毒会在病毒文件夹下生成:>>logo.txt
echo %病毒当前目录下%\vidll.dll>>logo.txt
echo 4、病毒从Z盘开始向前搜索所有可用分区中的exe文件,然后感染所有大小27kb-10mb的可执行文件,感染完毕在被感染的文件夹中生成:>>logo.txt
echo _desktop.ini (文件属性:系统、隐藏。)>>logo.txt
echo 5、病毒会尝试修改%SysRoot%\system32\drivers\etc\hosts文件。>>logo.txt
echo 6、病毒通过添加如下注册表项实现病毒开机自动运行:>>logo.txt
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]>>logo.txt
echo "load"="%Windir%\rundl132.exe">>logo.txt
echo [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]>>logo.txt
echo "load"="%Windir%\rundl132.exe">>logo.txt
echo 7、病毒运行时尝试查找窗体名为:"RavMonClass"的程序,查找到窗体后发送消息关闭该程序。>>logo.txt
echo 8、枚举以下杀毒软件进程名,查找到后终止其进程:>>logo.txt
echo Ravmon.exe>>logo.txt
echo Eghost.exe>>logo.txt
echo Mailmon.exe>>logo.txt
echo KAVPFW.EXE>>logo.txt
echo IPARMOR.EXE>>logo.txt
echo Ravmond.exe>>logo.txt
echo regsvc.exe>>logo.txt
echo RavMon.exe>>logo.txt
echo mcshield.exe>>logo.txt
echo 9、同时病毒尝试利用以下命令终止相关杀病毒软件:>>logo.txt
echo net stop "Kingsoft AntiVirus Service">>logo.txt
echo 10、发送ICMP探测数据"Hello,World",判断网络状态,网络可用时,>>logo.txt
echo 枚举内网所有共享主机,并尝试用弱口令连接\\IPC$、\admin$等共享目录,连接成功后进行网络感染。>>logo.txt
echo 11、感染用户机器上的exe文件,但不感染以下文件夹中的文件:>>logo.txt
echo system>>logo.txt
echo system32>>logo.txt
echo windows>>logo.txt
echo Documents and settings>>logo.txt
echo system Volume Information>>logo.txt
echo Recycled>>logo.txt
echo winnt>>logo.txt
echo Program Files>>logo.txt
echo Windows NT>>logo.txt
echo WindowsUpdate>>logo.txt
echo Windows Media Player>>logo.txt
echo Outlook Express>>logo.txt
echo Internet Explorer>>logo.txt
echo ComPlus Applications>>logo.txt
echo NetMeeting>>logo.txt
echo Common Files>>logo.txt
echo Messenger>>logo.txt
echo Microsoft Office>>logo.txt
echo InstallShield Installation Information>>logo.txt
echo MSN>>logo.txt
echo Microsoft Frontpage>>logo.txt
echo Movie Maker>>logo.txt
echo MSN Gaming Zone>>logo.txt
echo 12、枚举系统进程,尝试将病毒dll(vidll.dll)选择性注入以下进程名对应的进程:>>logo.txt
echo Explorer >>logo.txt
echo Iexplore>>logo.txt
echo 找到符合条件的进程后随机注入以上两个进程中的其中一个。>>logo.txt
echo 13、当外网可用时,被注入的dll文件尝试连接以下网站下载并运行相关程序:>>logo.txt
echo http://www.flysky168.com/han/xz/11.exe>>logo.txt
echo http://www.flysky168.com/han/xz/22.exe>>logo.txt
echo http://www.flysky168.com/han/xz/33.exe>>logo.txt
echo http://www.flysky168.com/han/xz/44.exe>>logo.txt
echo http://www.flysky168.com/han/xz/55.exe>>logo.txt
echo http://www.flysky168.com/han/xz/66.exe>>logo.txt
echo 14、病毒下载成功后写入以下注册表项:>>logo.txt
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]>>logo.txt
echo "auto"="1">>logo.txt
notepad logo.txt
del logo.txt
goto 0
:3
cls
color 04
echo.
echo.
echo.
echo 如果解除会有感染logo1_.exe病毒的危险!!!!!
echo.
echo.
Set /P Choice= 如果要继续进行操作请选择:[Y/N]
If /I '%Choice%'=='Y' GOTO Y
If /I '%Choice%'=='N' GOTO 0
PAUSE >NUL
:Y
If Exist %windir%\logo1_.exe Del /F /S /Q %windir%\logo1_.exe>nul 2>nul
rd %windir%\logo1_.exe\>nul 2>nul
rd %windir%\logo1_.exe\禁止logo1创建病毒的..\>nul 2>nul
attrib -s -h -r %windir%\logo1_.exe>nul 2>nul
rd %windir%\logo1_.exe
If Exist %windir%\rundl132.exe Del /F /S /Q %windir%\rundl132.exe>nul 2>nul
rd %windir%\rundl132.exe\>nul 2>nul
rd %windir%\rundl132.exe\禁止rundl132创建病毒的..\>nul 2>nul
attrib -s -h -r %windir%\rundl132.exe>nul 2>nul
rd %windir%\rundl132.exe
cls
Echo.
echo.
echo.
echo.
echo 恭喜你logo1_.exe病毒免疫解除成功!
ping 127.1 -n 3 >nul
goto 0
:cb
cls
@echo off
color 06
echo.
echo.
echo.
echo.
echo 正在扫描_desktop.ini文件……
if exist "%tmp%\note.txt" del /a "%tmp%\note.txt" >nul 2>nul
set num=0
setlocal enabledelayedexpansion
for %%i in (c d e f g h i j k l m n o p q r s t u v w x y z) do (
if exist %%i: (
cd\
for /f "tokens=*" %%a in ('dir /s /a-d /b %%i:\_desktop.ini') do (
echo %%a>>"%tmp%\note.txt"
set /a num=!num!+1
del /q /a /f "%%a"
)
)
)
cls
echo 共删除文件: %num%个
if not "%num%"=="0" start "" "%tmp%\note.txt"
echo 恭喜你已全部删除_desktop.ini文件!
ping 127.1 -n 3 >nul
goto 0
[ Last edited by chengbiner on 2006-12-4 at 02:43 AM ]
作者: voiL 时间: 2006-12-4 06:06
| Quote: | |
|
替广大用户谢谢你,但做广告就不厚道了.
作者: vlq5299 时间: 2006-12-5 02:15
谢谢了
作者: lgx8280998 时间: 2006-12-6 01:36
谢了..
加入到我的工具包中
作者: lxmxn 时间: 2006-12-6 01:40
不错啊,比较全面,偶是写不出来的~学习……
作者: chengbiner 时间: 2006-12-6 04:59
| Quote: | |
|
晕哦
那有广告哦
不就是一个群吗|?
我是学生,有个群没有,想找写人多学习下而已!
作者: HUNRYBECKY 时间: 2006-12-6 08:30
谢谢楼主,前几天刚好中了这个病毒,可是不是用楼主的这个查杀,如果早出来几天就好了,我可以那里做测试。
作者: mouzeming 时间: 2006-12-7 22:59
个人觉的这样的方法并不太可行.
这个原理跟原来防ARP是一样的.但是如果病毒的作者把病毒的文件名给改了的话怎么办呢?所以我觉得还是没从根本上解决问题
个人观点.
作者: kennyfan 时间: 2006-12-8 11:03
这段代码不错哦.谁有威金病毒?传上来试试~~咔咔
作者: koala 时间: 2007-10-19 19:13
再次光临,不错的 脚本啊