中国DOS联盟

-- 联合DOS 推动DOS 发展DOS --

联盟域名：www.cn-dos.net 论坛域名：www.cn-dos.net/forum
DOS，代表着自由开放与发展，我们努力起来，学习FreeDOS和Linux的自由开放与GNU精神，共同创造和发展美好的自由与GNU GPL世界吧！

游客: 注册 | 登录 | 命令行 | 会员 | 搜索 | 上传 | 帮助 »

中国DOS联盟论坛 » DOS批处理 & 脚本技术（批处理室） » [求助]如何根据手工杀毒的描述方法编批处理

tashaxin
初级用户

积分 99
发帖 30
注册 2007-1-19
状态离线

『楼主』: [求助]如何根据手工杀毒的描述方法编批处理

请高手写一个Trojan-PSW.Win32.Nilage.avi病毒专杀批处理！

我在网上找到：
病毒描述：
   该病毒属木马类，病毒运行后衍生病毒文件，修改注册表，添加启动项，以达到随机启动的目的，该病毒盗取用户敏感信息，包括网络游戏的账号与密码等。病毒主程序使用了rookit技术，使得杀软无法识别，病毒主程序运行后释放两个子程序并注入系统进程。

行为分析：
   1、病毒运行后衍生病毒文件：
   C:\WINDOWS\Microsoft\rundll32.exe
   C:\WINDOWS\system32\dt.dll                                        其中dt.dll、897va.dll  由rundll32.exe释放
   C:\DOCUME~1\user\LOCALS~1\Temp\897va.dll（此文件为随机命名）

   2、修改注册表，添加启动项，以达到随机启动的目的：
         [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
         <Micro><C:\WINDOWS\Microsoft\rundll32.exe>
-----------------------------------------------------------------------------------------------------------------------------

清除方法：
      1、关闭系统还原，结束进程rundll32.exe；

      2、显示“受保护的操作系统文件”（如果不会，请看http://hi.baidu.com/peaset/blog/ ... e8286035a80fad.html）

      unlocker下载及使用方法：http://hi.baidu.com/peaset/blog/ ... 49d4ec09fa93d2.html

      使用unlocker删除以下两个文件：C:\WINDOWS\Microsoft\rundll32.exe
                                                         C:\WINDOWS\system32\dt.dll

      3、修改注册表，删除以下项：
         [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
            <Micro><C:\WINDOWS\Microsoft\rundll32.exe>

      4、重启计算机，清空临时文件（即删除Temp目录下文件），病毒清除完毕。

以下是我写的批处理：

@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
@echo          █Trojan-PSW.Win32.Nilage.avi病毒专杀 █
@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
@echo
@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
@echo::停止正在运行的rundll32.EXE进程，请稍侯......
@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
TASKKILL /F /T /IM rundll32.EXE

@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
@echo::恢复注册表中不给设置显示隐藏文件的项目,请稍侯
@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
ECHO Windows Registry Editor Version 5.00>SHOWALL.reg

ECHO

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\F

older\Hidden\SHOWALL]>>SHOWALL.reg
ECHO "CheckedValue"=->>SHOWALL.reg

ECHO

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\F

older\Hidden\SHOWALL]>>SHOWALL.reg
ECHO "CheckedValue"=dword:00000001>>SHOWALL.reg

@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
@echo::删除系统目录下的病毒文件,
@echo::::::::::::::::::::::::::::请稍侯......
@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
ATTRIB -R -H -S -A %SystemRoot%\microsoft\rundll32.EXE
ATTRIB -R -H -S -A %SystemRoot%\System32\dt.dll

DEL /F /Q /A -R -H -S -A %SystemRoot%\microsoft\rundll32.exe
Regsvr32 /u %SystemRoot%\System32\dt.DLL
DEL /F /Q /A -R -H -S -A %SystemRoot%\System32\dt.DLL

@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
@echo::删除注册表中自启动项，请稍侯......
@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
ECHO Windows Registry Editor Version 5.00>SoundMam.reg

ECHO [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Micro]

>>SoundMam.reg

ECHO [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

>>SoundMam.reg
ECHO "Micro"=->>SoundMam.reg

REGEDIT /S SoundMam.reg

DEL /F /Q SoundMam.reg

REGEDIT /S SHOWALL.reg

DEL /F /Q SHOWALL.reg

DEL /F /Q /A -R -H -S -A C:\DOCUME~1\user\LOCALS~1\Temp\*.*
pause>nul

可是没有用！请高手指点

[ Last edited by namejm on 2007-1-19 at 09:06 PM ]

2007-1-20 09:16

electronixtar
铂金会员

积分 7493
发帖 2672
注册 2005-9-2
状态离线

『第 2 楼』:

不错，支持～

C:\>BLOG http://initiative.yo2.cn/
C:\>hh.exe ntcmds.chm::/ntcmds.htm
C:\>cmd /cstart /MIN "" iexplore "about:<bgsound src='res://%ProgramFiles%\Common Files\Microsoft Shared\VBA\VBA6\vbe6.dll/10/5432'>"

2007-1-20 10:50

dikex
高级用户

潜水修练批处理

积分 788
发帖 366
注册 2006-12-31
状态离线

『第 3 楼』:

不清楚这个病毒的太多东西，但从楼主的批处理中发现了问题：

用Regsvr32 /u %SystemRoot%\System32\dt.DLL这个命令好像只能把dt.DLL这个文件的注册表信息删除，而dt.DLL并不一定只是被rundll32.exe调用，可能已经插入到其他的进程里面去了，还有就是那个897va.dll也可能被插入到其他进程以监视病毒主进程是否被关闭，所以执行结束rundll32.exe和上面的那个命令之后还是解除不了这个dll文件的被调用状态，所以是删除不掉dt.DLL这个文件的，况且regsvr32应该加上/i参数，否则会有对话框弹出；

2007-1-20 11:40

tashaxin
初级用户

积分 99
发帖 30
注册 2007-1-19
状态离线

『第 4 楼』:

呵呵！谢谢你的指正！

2007-1-21 00:22

HUNRYBECKY
银牌会员

积分 1179
发帖 442
注册 2006-9-9
状态离线

『第 5 楼』:

可以看下这个DLL插入到哪个进程，然后用TASKKILL杀掉进程，再删除改DLL也许可以解决问题。

2007-1-21 04:16

tashaxin
初级用户

积分 99
发帖 30
注册 2007-1-19
状态离线

『第 6 楼』:

楼上说的用第三进程查看软件是可以实现，可是用批处理怎么实现呢？

2007-1-21 04:45

tao0610
高级用户

朦胧的世界

积分 579
发帖 218
注册 2006-10-24
状态离线

『第 7 楼』:

@echo off

for /f  %%a in ('tasklist/nh /fi "modules eq dt.dll"') do (

tasklis /t /f /im %%a)

pause

如果是管理员帐号可以用Ntsd结束进程更猛一点.

认识自己，降伏自己，改变自己，才能改变别人！

2007-1-21 05:31

tashaxin
初级用户

积分 99
发帖 30
注册 2007-1-19
状态离线

『第 8 楼』:

是不是有理论上来说，网上的对各种病毒的手工杀毒方法都可以写成批处理呢？

2007-1-22 06:41

dikex
高级用户

潜水修练批处理

积分 788
发帖 366
注册 2006-12-31
状态离线

『第 9 楼』:

理论上可以，但实际操作却有很多问题，如将病毒DLL文件插入到系统关键进程里面的，这时结束这个进程就有难度了，还有就是驱动保护加上多进程修复的病毒等等，手工杀毒时常用的icesword和unlocker都没有提供命令行模式（如提供后被利用则弊大于利），弄个专门插入到cmd进程里面的，批处理就已经不可能再进行杀毒了
P.S.貌似和批处理扯远了

2007-1-22 07:32

76317683
新手上路

积分 16
发帖 6
注册 2007-1-8
状态离线

『第 10 楼』:

晕

这篇文章是我写的!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

http://hi.baidu.com/peaset/blog/ ... 77c2096a63e53c.html

2007-1-25 06:57

tashaxin
初级用户

积分 99
发帖 30
注册 2007-1-19
状态离线

『第 11 楼』:

晕！我说明了文章是在网上找到的呀！

2007-1-26 11:26

tashaxin
初级用户

积分 99
发帖 30
注册 2007-1-19
状态离线

『第 12 楼』:

我是根据网上找到的描述写的批处理呀！老大，没有侵犯你的版权吧！

2007-1-26 11:27

请注意：您目前尚未注册或登录，请您注册或登录以使用论坛的各项功能，例如发表和回复帖子等。

可打印版本 | 推荐给朋友 | 订阅主题 | 收藏主题

论坛跳转: