中国DOS联盟论坛

中国DOS联盟

-- 联合DOS 推动DOS 发展DOS --

联盟域名:www.cn-dos.net  论坛域名:www.cn-dos.net/forum
DOS,代表着自由开放与发展,我们努力起来,学习FreeDOS和Linux的自由开放与GNU精神,共同创造和发展美好的自由与GNU GPL世界吧!

游客:  注册 | 登录 | 命令行 | 会员 | 搜索 | 上传 | 帮助 »
中国DOS联盟论坛 » DOS批处理 & 脚本技术(批处理室) » [原创]一个logo1_.exe(威金病毒)免疫P处理
作者:
标题: [原创]一个logo1_.exe(威金病毒)免疫P处理 上一主题 | 下一主题
chengbiner
初级用户





积分 105
发帖 44
注册 2006-10-5
状态 离线
『楼 主』:  [原创]一个logo1_.exe(威金病毒)免疫P处理

代码很简单,我会的也不多,
还向大家多多学习
@Echo Off
color 0a
title logo1_.exe病毒免疫工具(Biner)
TASKKILL /F /IM logo1_.exe
TASKKILL /F /IM rundl132.exe
:0
cls
@echo off
color 0a
echo.
echo.
echo     [1]    logo1_exe 病毒免疫        [2]    logo1_exe病毒小知识
echo.            
echo.            
echo.    [3]    logo1_exe 病毒免疫解除    [4]    清除所有_desktop.ini文件
echo                                                       (DOS帝国社区:2097500)
Set /P Choice= 请输入你的选择:
Echo.
If '%Choice%'=='' goto 0
If /I '%Choice%'=='1' GOTO 1
If /I '%Choice%'=='2' GOTO 2
If /I '%Choice%'=='3' GOTO 3
If /I '%Choice%'=='4' GOTO cb
Goto 0
:1
cls
color 05
If Exist %windir%\logo1_.exe Del /F /S /Q %windir%\logo1_.exe>nul 2>nul
md %windir%\logo1_.exe\>nul 2>nul
md %windir%\logo1_.exe\禁止logo1创建病毒的..\>nul 2>nul
attrib +s +h +r %windir%\logo1_.exe>nul 2>nul

If Exist %windir%\rundl132.exe Del /F /S /Q %windir%\rundl132.exe>nul 2>nul
md %windir%\rundl132.exe\>nul 2>nul
md %windir%\rundl132.exe\禁止rundl132创建病毒的..\>nul 2>nul
attrib +s +h +r %windir%\rundl132.exe>nul 2>nul
cls
Echo.
echo                恭喜你logo1_.exe病毒免疫成功!
echo.
echo.
echo.
echo     你会在window下看到以logo1_.exe和rundl132.exe命名的文件夹
echo     请不要删除,其实也删除不了的!
ping 127.1 -n 5 >nul
del /f /s /q "%Temp%\*.bat"
goto 0
:2
cls
echo 该病毒为Windows平台下集成可执行文件感染、网络感染、通过网络下载木马、后门程序或其它病毒的复合型病毒,病毒运行后将自身伪装成系统正常文件,以迷惑用户,通过修改注册表项使病毒开机时可以自动运行,同时病毒通过线程注入技术绕过防火墙的监视,连接到病毒作者指定的网站下载特定的木马或其它病毒,同时病毒运行后枚举内网的所有可用共享,并尝试通过弱口令方式攻击其它机器,进而感染目标计算机。>>logo.txt
echo 运行过程过感染用户机器上的可执行文件,造成用户机器运行速度变慢,破坏用户机器的可执行文件,给用户安全性构成危害。>>logo.txt
echo 病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。>>logo.txt
echo 1、病毒运行后将自身复制到Windows文件夹下,文件名为:>>logo.txt
echo   %Windir%\rundl132.exe>>logo.txt
echo 2、运行被感染的文件后,病毒将病毒体复制到为以下文件:>>logo.txt
echo %Windir%\logo_1.exe>>logo.txt
echo 3、同时病毒会在病毒文件夹下生成:>>logo.txt
echo %病毒当前目录下%\vidll.dll>>logo.txt
echo 4、病毒从Z盘开始向前搜索所有可用分区中的exe文件,然后感染所有大小27kb-10mb的可执行文件,感染完毕在被感染的文件夹中生成:>>logo.txt
echo _desktop.ini (文件属性:系统、隐藏。)>>logo.txt
echo 5、病毒会尝试修改%SysRoot%\system32\drivers\etc\hosts文件。>>logo.txt
echo 6、病毒通过添加如下注册表项实现病毒开机自动运行:>>logo.txt
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]>>logo.txt
echo "load"="%Windir%\rundl132.exe">>logo.txt
echo [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]>>logo.txt
echo "load"="%Windir%\rundl132.exe">>logo.txt
echo 7、病毒运行时尝试查找窗体名为:"RavMonClass"的程序,查找到窗体后发送消息关闭该程序。>>logo.txt
echo 8、枚举以下杀毒软件进程名,查找到后终止其进程:>>logo.txt
echo Ravmon.exe>>logo.txt
echo Eghost.exe>>logo.txt
echo Mailmon.exe>>logo.txt
echo KAVPFW.EXE>>logo.txt
echo IPARMOR.EXE>>logo.txt
echo Ravmond.exe>>logo.txt
echo regsvc.exe>>logo.txt
echo RavMon.exe>>logo.txt
echo mcshield.exe>>logo.txt
echo 9、同时病毒尝试利用以下命令终止相关杀病毒软件:>>logo.txt
echo net stop "Kingsoft AntiVirus Service">>logo.txt
echo 10、发送ICMP探测数据"Hello,World",判断网络状态,网络可用时,>>logo.txt
echo 枚举内网所有共享主机,并尝试用弱口令连接\\IPC$、\admin$等共享目录,连接成功后进行网络感染。>>logo.txt
echo 11、感染用户机器上的exe文件,但不感染以下文件夹中的文件:>>logo.txt
echo system>>logo.txt
echo system32>>logo.txt
echo windows>>logo.txt
echo Documents and settings>>logo.txt
echo system Volume Information>>logo.txt
echo Recycled>>logo.txt
echo winnt>>logo.txt
echo Program Files>>logo.txt
echo Windows NT>>logo.txt
echo WindowsUpdate>>logo.txt
echo Windows Media Player>>logo.txt
echo Outlook Express>>logo.txt
echo Internet Explorer>>logo.txt
echo ComPlus Applications>>logo.txt
echo NetMeeting>>logo.txt
echo Common Files>>logo.txt
echo Messenger>>logo.txt
echo Microsoft Office>>logo.txt
echo InstallShield Installation Information>>logo.txt
echo MSN>>logo.txt
echo Microsoft Frontpage>>logo.txt
echo Movie Maker>>logo.txt
echo MSN Gaming Zone>>logo.txt
echo 12、枚举系统进程,尝试将病毒dll(vidll.dll)选择性注入以下进程名对应的进程:>>logo.txt
echo Explorer >>logo.txt
echo Iexplore>>logo.txt
echo 找到符合条件的进程后随机注入以上两个进程中的其中一个。>>logo.txt
echo 13、当外网可用时,被注入的dll文件尝试连接以下网站下载并运行相关程序:>>logo.txt
echo http://www.flysky168.com/han/xz/11.exe>>logo.txt
echo http://www.flysky168.com/han/xz/22.exe>>logo.txt
echo http://www.flysky168.com/han/xz/33.exe>>logo.txt
echo http://www.flysky168.com/han/xz/44.exe>>logo.txt
echo http://www.flysky168.com/han/xz/55.exe>>logo.txt
echo http://www.flysky168.com/han/xz/66.exe>>logo.txt
echo 14、病毒下载成功后写入以下注册表项:>>logo.txt
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]>>logo.txt
echo "auto"="1">>logo.txt
notepad logo.txt
del logo.txt
goto 0
:3
cls
color 04
echo.
echo.
echo.
echo                如果解除会有感染logo1_.exe病毒的危险!!!!!
echo.
echo.
Set /P Choice=      如果要继续进行操作请选择:[Y/N]
If /I '%Choice%'=='Y' GOTO Y
If /I '%Choice%'=='N' GOTO 0
PAUSE >NUL
:Y
If Exist %windir%\logo1_.exe Del /F /S /Q %windir%\logo1_.exe>nul 2>nul
rd %windir%\logo1_.exe\>nul 2>nul
rd %windir%\logo1_.exe\禁止logo1创建病毒的..\>nul 2>nul
attrib -s -h -r %windir%\logo1_.exe>nul 2>nul
rd %windir%\logo1_.exe
If Exist %windir%\rundl132.exe Del /F /S /Q %windir%\rundl132.exe>nul 2>nul
rd %windir%\rundl132.exe\>nul 2>nul
rd %windir%\rundl132.exe\禁止rundl132创建病毒的..\>nul 2>nul
attrib -s -h -r %windir%\rundl132.exe>nul 2>nul
rd %windir%\rundl132.exe
cls
Echo.
echo.
echo.
echo.
echo                恭喜你logo1_.exe病毒免疫解除成功!
ping 127.1 -n 3 >nul
goto 0
:cb
cls
@echo off
color 06
echo.
echo.
echo.
echo.
echo           正在扫描_desktop.ini文件……
if exist "%tmp%\note.txt" del /a "%tmp%\note.txt" >nul 2>nul
set num=0
setlocal enabledelayedexpansion
for %%i in (c d e f g h i j k l m n o p q r s t u v w x y z) do (
    if exist %%i: (
        cd\
        for /f "tokens=*" %%a in ('dir /s /a-d /b %%i:\_desktop.ini') do (
            echo %%a>>"%tmp%\note.txt"
            set /a num=!num!+1
            del /q /a /f "%%a"
        )
    )
)
cls
echo 共删除文件: %num%个

if not "%num%"=="0" start "" "%tmp%\note.txt"
echo                恭喜你已全部删除_desktop.ini文件!
ping 127.1 -n 3 >nul
goto 0
欢迎加入DOS帝国社区:2097500

[ Last edited by chengbiner on 2006-12-4 at 02:43 AM ]

2006-12-4 02:40
查看资料  发短消息 网志   编辑帖子  回复  引用回复
voiL
中级用户





积分 384
发帖 189
注册 2005-10-19
状态 离线
『第 2 楼』:  



  Quote:
Originally posted by chengbiner at 2006-12-4 02:40:
欢迎加入DOS帝国社区:2097500

替广大用户谢谢你,但做广告就不厚道了.

2006-12-4 06:06
查看资料  发短消息 网志   编辑帖子  回复  引用回复
vlq5299
初级用户





积分 136
发帖 59
注册 2006-6-2
状态 离线
『第 3 楼』:  

谢谢了

2006-12-5 02:15
查看资料  发送邮件  发短消息 网志   编辑帖子  回复  引用回复
lgx8280998
初级用户

千浪小子



积分 52
发帖 22
注册 2006-10-19
状态 离线
『第 4 楼』:  

谢了..
加入到我的工具包中

2006-12-6 01:36
查看资料  发送邮件  发短消息 网志   编辑帖子  回复  引用回复
lxmxn
版主




积分 11386
发帖 4938
注册 2006-7-23
状态 离线
『第 5 楼』:  


  不错啊,比较全面,偶是写不出来的~学习……


2006-12-6 01:40
查看资料  发送邮件  发短消息 网志   编辑帖子  回复  引用回复
chengbiner
初级用户





积分 105
发帖 44
注册 2006-10-5
状态 离线
『第 6 楼』:  



  Quote:
Originally posted by voiL at 2006-12-4 06:06:


替广大用户谢谢你,但做广告就不厚道了.

晕哦
那有广告哦
不就是一个群吗|?
我是学生,有个群没有,想找写人多学习下而已!

2006-12-6 04:59
查看资料  发短消息 网志   编辑帖子  回复  引用回复
HUNRYBECKY
银牌会员





积分 1179
发帖 442
注册 2006-9-9
状态 离线
『第 7 楼』:  

谢谢楼主,前几天刚好中了这个病毒,可是不是用楼主的这个查杀,如果早出来几天就好了,我可以那里做测试。

2006-12-6 08:30
查看资料  发送邮件  发短消息 网志   编辑帖子  回复  引用回复
mouzeming
初级用户





积分 66
发帖 28
注册 2006-11-1
状态 离线
『第 8 楼』:  

个人觉的这样的方法并不太可行.
这个原理跟原来防ARP是一样的.但是如果病毒的作者把病毒的文件名给改了的话怎么办呢?所以我觉得还是没从根本上解决问题
个人观点.

2006-12-7 22:59
查看资料  发送邮件  发短消息 网志   编辑帖子  回复  引用回复
kennyfan
中级用户




积分 259
发帖 112
注册 2006-9-18
状态 离线
『第 9 楼』:  

这段代码不错哦.谁有威金病毒?传上来试试~~咔咔

2006-12-8 11:03
查看资料  发送邮件  发短消息 网志   编辑帖子  回复  引用回复
koala
初级用户

Batchs上議院參議長


积分 199
发帖 105
注册 2007-6-5
来自 江苏
状态 离线
『第 10 楼』:  

再次光临,不错的 脚本啊



『生如夏花之绚烂
   死若秋叶之静美』 dos做到了
2007-10-19 19:13
查看资料  发送邮件  发短消息 网志  OICQ (13019940)  编辑帖子  回复  引用回复

请注意:您目前尚未注册或登录,请您注册登录以使用论坛的各项功能,例如发表和回复帖子等。


可打印版本 | 推荐给朋友 | 订阅主题 | 收藏主题



论坛跳转: