加载中…
个人资料
Hades_Expolit
Hades_Expolit
  • 博客等级:
  • 博客积分:0
  • 博客访问:94,486
  • 关注人气:18
  • 获赠金笔:0支
  • 赠出金笔:0支
  • 荣誉徽章:
相关博文
推荐博文
谁看过这篇博文
加载中…
正文 字体大小:

Administrator.vbs病毒

(2008-11-18 00:05:22)
标签:

it

分类: 毒笼

病毒行为:中了病毒的机器,任务管理器、CMD、REGEDIT都是一打开马上就关闭了,木马使用了windows操作系统自带的“自动播放功能”,使得病毒在接入电脑的第一时间自动运行,出现的症状有,无法正常显示隐藏文件和系统文件,360安全卫士无法正常打开,打开即被自动关闭,任务管理器、命令提示符都是这样的情况。系统多了一个WScript的进程,当然伴随而来的是你双击打开任意一个盘符都是一闪一下再跳出那个盘符的界面,这个时候就是你已经“主动的”运行了病毒文件,查看自己是不是中了招就是右键点击一下盘符看是不是能看到两个“打开”选项,如果有,那么这就是中毒的体现了。

病毒会自动生成以使用者用户名为名称的一个.vbs文件隐藏在每个盘符跟目录以及windows(or winnt)和windows\system32下面,还有就是一个 autorun.inf 的一个自动执行文件,如,我的机器用户名为 administrator,病毒生成的文件就是 administrator.vbs ,病毒会修改注册表,使得系统帮助文件、文本文件一旦打开就将激活病毒,而且由于病毒有如下脚本:

------------------------
ProcessNames = Array("ras.exe", "360tray.exe", "taskmgr.exe", "cmd.exe", "cmd.com", "regedit.exe", "regedit.scr", "regedit.pif", "regedit.com", "msconfig.exe", "SREng.exe", "USBAntiVir.exe")
Do
Call KillProcess(ProcessNames)
Call InvadeSystem(objfso, vbsCode)
WScript.Sleep 5000
------------------------------
病毒将每隔5秒钟就将自动关闭进程中ras.exe", "360tray.exe", "taskmgr.exe", "cmd.exe", "cmd.com", "regedit.exe", "regedit.scr", "regedit.pif", "regedit.com", "msconfig.exe", "SREng.exe", "USBAntiVir.exe"名称为这些的程序,所以导致很多清理程序无法正常使用。

解决办法:

 把下面的代码另存为 xx.Bat 双击运行。

@ECHO OFF
cls
echo.
echo ***************************************
echo * administrator.vbs专杀工具 *
echo *Http://www.oldjun.com*
echo ***************************************
echo.

echo 正在关闭Script进程...
taskkill /im WScript.exe /f
taskkill /im cscript.exe /f
echo 关闭成功...

echo %username%
echo 正在删除相关文件...
@if exist %windir%\%username%.vbs del %windir%\%username%.vbs /f/q/a
@if exist %windir%\system32\%username%.vbs del %windir%\system32\%username%.vbs /f/q/a
@if exist %windir%\system32\%username%.ini del %windir%\system32\%username%.ini /f/q/a
@if exist c:\autorun.inf del c:\autorun.inf /f/q/a
@if exist d:\autorun.inf del d:\autorun.inf /f/q/a
@if exist e:\autorun.inf del e:\autorun.inf /f/q/a
@if exist f:\autorun.inf del f:\autorun.inf /f/q/a
@if exist g:\autorun.inf del g:\autorun.inf /f/q/a
@if exist h:\autorun.inf del h:\autorun.inf /f/q/a
@if exist c:\%username%.vbs del c:\%username%.vbs /f/q/a
@if exist d:\%username%.vbs del d:\%username%.vbs /f/q/a
@if exist e:\%username%.vbs del e:\%username%.vbs /f/q/a
@if exist f:\%username%.vbs del f:\%username%.vbs /f/q/a
@if exist g:\%username%.vbs del g:\%username%.vbs /f/q/a
@if exist h:\%username%.vbs del h:\%username%.vbs /f/q/a
echo 删除成功...

echo 正在修改注册表...
echo 显示隐藏文件
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /t reg_dword /d 1 /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v ShowSuperHidden /t reg_dword /d 1 /f
echo 关闭自动播放
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t reg_dword /d 1 /f
echo 删除启动项
reg delete "HKCU\SoftWare\Microsoft\Windows NT\CurrentVersion\Windows" /v Load /f
echo 恢复文件关联
reg add "HKLM\SOFTWARE\Classes\txtfile\shell\open\command" /ve /t REG_EXPAND_SZ /d "%%SystemRoot%%\system32\NOTEPAD.EXE %%1" /f
reg add "HKLM\SOFTWARE\Classes\regfile\shell\open\command" /ve /t REG_EXPAND_SZ /d "regedit.exe "%%1"" /f
reg add "HKLM\SOFTWARE\Classes\chm.file\shell\open\command" /ve /t REG_EXPAND_SZ /d ""hh.exe" %%1" /f
reg add "HKLM\SOFTWARE\Classes\hlpfile\shell\open\command" /ve /t REG_EXPAND_SZ /d "winhlp32.exe %%1" /f
reg add "HKLM\SOFTWARE\Classes\exefile\shell\open\command" /ve /t REG_SZ /d ""%%1" %%*" /f
echo 修改成功...

cls
echo.
echo ****************
echo * 清 除 完 毕 ! *
echo ****************
echo.
echo. & pause

0

阅读 评论 收藏 转载 喜欢 打印举报/Report
  • 评论加载中,请稍候...
发评论

    发评论

    以上网友发言只代表其个人观点,不代表新浪网的观点或立场。

      

    新浪BLOG意见反馈留言板 电话:4000520066 提示音后按1键(按当地市话标准计费) 欢迎批评指正

    新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

    新浪公司 版权所有