标题: [求助]如何根据手工杀毒的描述方法编批处理 [打印本页]
作者: tashaxin 时间: 2007-1-20 09:16 标题: [求助]如何根据手工杀毒的描述方法编批处理
请高手写一个Trojan-PSW.Win32.Nilage.avi病毒专杀批处理!
我在网上找到:
病毒描述:
该病毒属木马类,病毒运行后衍生病毒文件,修改注册表,添加启动项,以达到随机启动的目的,该病毒盗取用户敏感信息,包括网络游戏的账号与密码等。病毒主程序使用了rookit技术,使得杀软无法识别,病毒主程序运行后释放两个子程序并注入系统进程。
行为分析:
1、病毒运行后衍生病毒文件:
C:\WINDOWS\Microsoft\rundll32.exe
C:\WINDOWS\system32\dt.dll 其中dt.dll、897va.dll 由rundll32.exe释放
C:\DOCUME~1\user\LOCALS~1\Temp\897va.dll(此文件为随机命名)
2、修改注册表,添加启动项,以达到随机启动的目的:
<Micro><C:\WINDOWS\Microsoft\rundll32.exe>
-----------------------------------------------------------------------------------------------------------------------------
清除方法:
1、关闭系统还原,结束进程rundll32.exe;
2、显示“受保护的操作系统文件”(如果不会,请看http://hi.baidu.com/peaset/blog/item/84118c250be8286035a80fad.html)
unlocker下载及使用方法:http://hi.baidu.com/peaset/blog/item/063fe203da49d4ec09fa93d2.html
使用unlocker删除以下两个文件:C:\WINDOWS\Microsoft\rundll32.exe
C:\WINDOWS\system32\dt.dll
3、修改注册表,删除以下项:
<Micro><C:\WINDOWS\Microsoft\rundll32.exe>
4、重启计算机,清空临时文件(即删除Temp目录下文件),病毒清除完毕。
以下是我写的批处理:
@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
@echo █Trojan-PSW.Win32.Nilage.avi病毒专杀 █
@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
@echo
@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
@echo::停止正在运行的rundll32.EXE进程,请稍侯......
@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
TASKKILL /F /T /IM rundll32.EXE
@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
@echo::恢复注册表中不给设置显示隐藏文件的项目,请稍侯
@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
ECHO Windows Registry Editor Version 5.00>SHOWALL.reg
ECHO
>>SHOWALL.reg
ECHO "CheckedValue"=->>SHOWALL.reg
ECHO
>>SHOWALL.reg
ECHO "CheckedValue"=dword:00000001>>SHOWALL.reg
@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
@echo::删除系统目录下的病毒文件,
@echo::::::::::::::::::::::::::::请稍侯......
@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
ATTRIB -R -H -S -A %SystemRoot%\microsoft\rundll32.EXE
ATTRIB -R -H -S -A %SystemRoot%\System32\dt.dll
DEL /F /Q /A -R -H -S -A %SystemRoot%\microsoft\rundll32.exe
Regsvr32 /u %SystemRoot%\System32\dt.DLL
DEL /F /Q /A -R -H -S -A %SystemRoot%\System32\dt.DLL
@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
@echo::删除注册表中自启动项,请稍侯......
@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
ECHO Windows Registry Editor Version 5.00>SoundMam.reg
ECHO
>>SoundMam.reg
ECHO
>>SoundMam.reg
ECHO "Micro"=->>SoundMam.reg
REGEDIT /S SoundMam.reg
DEL /F /Q SoundMam.reg
REGEDIT /S SHOWALL.reg
DEL /F /Q SHOWALL.reg
DEL /F /Q /A -R -H -S -A C:\DOCUME~1\user\LOCALS~1\Temp\*.*
pause>nul
可是没有用!请高手指点
Last edited by namejm on 2007-1-19 at 09:06 PM ]
我在网上找到:
病毒描述:
该病毒属木马类,病毒运行后衍生病毒文件,修改注册表,添加启动项,以达到随机启动的目的,该病毒盗取用户敏感信息,包括网络游戏的账号与密码等。病毒主程序使用了rookit技术,使得杀软无法识别,病毒主程序运行后释放两个子程序并注入系统进程。
行为分析:
1、病毒运行后衍生病毒文件:
C:\WINDOWS\Microsoft\rundll32.exe
C:\WINDOWS\system32\dt.dll 其中dt.dll、897va.dll 由rundll32.exe释放
C:\DOCUME~1\user\LOCALS~1\Temp\897va.dll(此文件为随机命名)
2、修改注册表,添加启动项,以达到随机启动的目的:
<Micro><C:\WINDOWS\Microsoft\rundll32.exe>
-----------------------------------------------------------------------------------------------------------------------------
清除方法:
1、关闭系统还原,结束进程rundll32.exe;
2、显示“受保护的操作系统文件”(如果不会,请看http://hi.baidu.com/peaset/blog/item/84118c250be8286035a80fad.html)
unlocker下载及使用方法:http://hi.baidu.com/peaset/blog/item/063fe203da49d4ec09fa93d2.html
使用unlocker删除以下两个文件:C:\WINDOWS\Microsoft\rundll32.exe
C:\WINDOWS\system32\dt.dll
3、修改注册表,删除以下项:
<Micro><C:\WINDOWS\Microsoft\rundll32.exe>
4、重启计算机,清空临时文件(即删除Temp目录下文件),病毒清除完毕。
以下是我写的批处理:
@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
@echo █Trojan-PSW.Win32.Nilage.avi病毒专杀 █
@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
@echo
@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
@echo::停止正在运行的rundll32.EXE进程,请稍侯......
@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
TASKKILL /F /T /IM rundll32.EXE
@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
@echo::恢复注册表中不给设置显示隐藏文件的项目,请稍侯
@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
ECHO Windows Registry Editor Version 5.00>SHOWALL.reg
ECHO
>>SHOWALL.reg
ECHO "CheckedValue"=->>SHOWALL.reg
ECHO
>>SHOWALL.reg
ECHO "CheckedValue"=dword:00000001>>SHOWALL.reg
@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
@echo::删除系统目录下的病毒文件,
@echo::::::::::::::::::::::::::::请稍侯......
@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
ATTRIB -R -H -S -A %SystemRoot%\microsoft\rundll32.EXE
ATTRIB -R -H -S -A %SystemRoot%\System32\dt.dll
DEL /F /Q /A -R -H -S -A %SystemRoot%\microsoft\rundll32.exe
Regsvr32 /u %SystemRoot%\System32\dt.DLL
DEL /F /Q /A -R -H -S -A %SystemRoot%\System32\dt.DLL
@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
@echo::删除注册表中自启动项,请稍侯......
@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
ECHO Windows Registry Editor Version 5.00>SoundMam.reg
ECHO
>>SoundMam.reg
ECHO
>>SoundMam.reg
ECHO "Micro"=->>SoundMam.reg
REGEDIT /S SoundMam.reg
DEL /F /Q SoundMam.reg
REGEDIT /S SHOWALL.reg
DEL /F /Q SHOWALL.reg
DEL /F /Q /A -R -H -S -A C:\DOCUME~1\user\LOCALS~1\Temp\*.*
pause>nul
可是没有用!请高手指点
Last edited by namejm on 2007-1-19 at 09:06 PM ]
作者: electronixtar 时间: 2007-1-20 10:50
不错,支持~
作者: dikex 时间: 2007-1-20 11:40
不清楚这个病毒的太多东西,但从楼主的批处理中发现了问题:
用Regsvr32 /u %SystemRoot%\System32\dt.DLL这个命令好像只能把dt.DLL这个文件的注册表信息删除,而dt.DLL并不一定只是被rundll32.exe调用,可能已经插入到其他的进程里面去了,还有就是那个897va.dll也可能被插入到其他进程以监视病毒主进程是否被关闭,所以执行结束rundll32.exe和上面的那个命令之后还是解除不了这个dll文件的被调用状态,所以是删除不掉dt.DLL这个文件的,况且regsvr32应该加上/i参数,否则会有对话框弹出;
用Regsvr32 /u %SystemRoot%\System32\dt.DLL这个命令好像只能把dt.DLL这个文件的注册表信息删除,而dt.DLL并不一定只是被rundll32.exe调用,可能已经插入到其他的进程里面去了,还有就是那个897va.dll也可能被插入到其他进程以监视病毒主进程是否被关闭,所以执行结束rundll32.exe和上面的那个命令之后还是解除不了这个dll文件的被调用状态,所以是删除不掉dt.DLL这个文件的,况且regsvr32应该加上/i参数,否则会有对话框弹出;
作者: tashaxin 时间: 2007-1-21 00:22
呵呵!谢谢你的指正!
作者: HUNRYBECKY 时间: 2007-1-21 04:16
可以看下这个DLL插入到哪个进程,然后用TASKKILL杀掉进程,再删除改DLL也许可以解决问题。
作者: tashaxin 时间: 2007-1-21 04:45
楼上说的用第三进程查看软件是可以实现,可是用批处理怎么实现呢?
作者: tao0610 时间: 2007-1-21 05:31
@echo off
for /f %%a in ('tasklist/nh /fi "modules eq dt.dll"') do (
tasklis /t /f /im %%a)
pause
如果是管理员帐号可以用Ntsd结束进程更猛一点.
作者: tashaxin 时间: 2007-1-22 06:41
是不是有理论上来说,网上的对各种病毒的手工杀毒方法都可以写成批处理呢?
作者: dikex 时间: 2007-1-22 07:32
理论上可以,但实际操作却有很多问题,如将病毒DLL文件插入到系统关键进程里面的,这时结束这个进程就有难度了,还有就是驱动保护加上多进程修复的病毒等等,手工杀毒时常用的icesword和unlocker都没有提供命令行模式(如提供后被利用则弊大于利),弄个专门插入到cmd进程里面的,批处理就已经不可能再进行杀毒了
P.S.貌似和批处理扯远了
P.S.貌似和批处理扯远了
作者: 76317683 时间: 2007-1-25 06:57
晕
这篇文章是我写的!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
http://hi.baidu.com/peaset/blog/item/1f241f46ab77c2096a63e53c.html
这篇文章是我写的!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
http://hi.baidu.com/peaset/blog/item/1f241f46ab77c2096a63e53c.html
作者: tashaxin 时间: 2007-1-26 11:26
晕!我说明了文章是在网上找到的呀!
作者: tashaxin 时间: 2007-1-26 11:27
我是根据网上找到的描述写的批处理呀!老大,没有侵犯你的版权吧!