瑞星卡卡安全论坛

Trojan-Spy.Win32.Goldun.ms木马清除及免疫工具.bat
这是我刚刚编写的Trojan-Spy.Win32.Goldun.ms木马清除及免疫工具，希望大家进行测试，多提意见，进行改进。
o(∩_∩)o...


用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; QQDownload 1.7; WPS; baiduds)

附件: Trojan-Spy.Win32.Goldun.ms木马清除及免疫工具.rar

熟悉批处理编程的都看看了，以下是楼主批处理文件的内容，请有兴趣的朋友研究下（注意维护作者版权）：


@ECHO off
title Trojan-Spy.Win32.Goldun.ms木马清除器 by：Zonga 1.0Beta1
cls
color F0
echo ======================================
echo =Trojan-Spy.Win32.Goldun.ms木马清除器=
echo =版本：1.0Beta1    Zonga制作        =
echo =Http://hi.baidu.com/zonga          =
echo ======================================
echo 本程序用于清楚Trojan-Spy.Win32.Goldun.ms木马
echo 病毒资料：
echo 病毒名称： Trojan-Spy.Win32.Goldun.ms
echo 病毒类型： 木马
echo 中文名称： 金盾
echo 文件 MD5： D0BA8262D140F5689BA34E0D175A3C1A
echo 公开范围： 完全公开
echo 危害等级： 5
echo 文件长度： 48,184 字节
echo 感染系统： Windows98以上版本
echo 开发工具： Microsoft Visual C++ 6.0
echo 加壳类型： UPX 0.89.6 - 1.02 / 1.05 - 1.24
echo 正准备运行清除工具
echo 按任意键开始
pause
Taskkill /f /im Iexplorer.exe
del /f %System32%msvcrl.dll
del /f %Temp%pda****.tmp
echo 病毒清除完毕
echo 病毒已损坏IE，请重新安装
echo 该病毒属木马类。病毒运行后尝试创建名为qo823wtifs_ssn的互斥体；检测%System32%下是否有msvcrl.dll，若存在移动到%Temp%目录下，更名为pda****.tmp（“****”为程序运行时获取的系统启动时间的尾四位）；衍生msvcrl.dll文件到%System32%下，根据系统版本不同调用sfc_os.dll 和sfc.dll，对经过字符转换的iexplore.exe文件路径进行处理，使“Windows 文件保护”功能对%Programe Files%\Internet Explorer\iexplore.exe文件失效；检测当前进程列表，结束所有iexplorer.exe进程，移动%Programe Files%\Internet Explorer\iexplore.exe文件到%Temp%目录下，更名为xa****.tmp（文件病毒名后四位为随机数字或大写字母所组成），修改%Programe Files%\InternetExplorer\iexplore.exe文件导入函数表结构，添加msvcrl.dll文件中唯一函数Proc到导入函数表中，实现当运行iexplore.exe时msvcrl.dll文件的自动加载，衍生a.bat文件到程序执行的当前目录下删除病毒文件和自身。　　msvcrl.dll文件伪装系统动态连接库文件，具有微软版本信息；被加载到IE进程中后将连接网络，获取下载列表，下载病毒文件等。盗取用户“ftp”、“outlook”、“Firefox”、“ICQ”、“MSN”、“AOL”和“YAHOO”等会员帐户的登陆帐号与登陆密码等信息，监听“E-Gold”的加密连接http://www.e-gold.com，获取用户登陆信息；将窃取到的这些机密信息资料发送到指定地址。
echo 按任意键进行免疫工作
pause
Copy msvcrl.dll %System32%
attrib +s +h +r %System32%msvcrl.dll
ylcacls %System32%msvcrl.dll /d everyone
echo 免疫完毕，(*^__^*) 嘻嘻……，谢谢使用
echo 【版本更新】
echo 【1.0Beta1  2008.6.23】
echo 第一个版本，仅供测试
echo ======================================
echo =Trojan-Spy.Win32.Goldun.ms木马清除器=
echo =版本：1.0Beta1    Zonga制作        =
echo =Http://hi.baidu.com/zonga          =
echo ======================================

我也喜欢批处理。

• 好的方面：注释很多，很详细，赞一下。

• 需要完善的地方：

del /f %System32%msvcrl.dll ::系统变量名错误，路径不合法
del /f %Temp%pda****.tmp ::路径不合法
Copy msvcrl.dll %System32% ::系统变量名错误，路径不合法
attrib +s +h +r %System32%msvcrl.dll ::系统变量名错误，路径不合法
ylcacls %System32%msvcrl.dll /d everyone ::不是有效的系统命令,系统变量名错误，路径不合法

感谢三楼
我正在修改

Trojan-Spy.Win32.Goldun.ms木马清除及免疫工具.bat
1.0Beta2制作完成，请大家多多指教

附件: Trojan-Spy.Win32.Goldun.ms木马清除及免疫工具v1.0Beta2.rar

注释很详细，再赞一下:default69:

以下部分建议修改（个人建议，仅供参考）：
1、echo 本程序用于清楚Trojan-Spy.Win32.Goldun.ms木马 
应该是清除吧:default7:
2、del /f %Temp%\pda****.tmp 
可改为del /f %Temp%\pda*.tmp，若只想删除pda后面是固定4位随机字符的.tmp则可改成del /f %Temp%\pda????.tmp）
3、ren %Temp%\xa****.tmp iexplore.exe
同上，且如果%temp%下存在多个以xa开头的.tmp文件，则只会重命名第一个，其他的会提示已经存在同名文件；
4、del /f %programfiles%\Internet Explorer\iexplore.exe
加引号，del /f "%programfiles%\Internet Explorer\iexplore.exe"
5、copy %Temp%\iexplore.exe %programfiles%\Internet Explorer
加引号，另外如果dllcache下的iexplore.exe未被破坏，建议直接从dllcache下恢复，即copy /y %systemroot%\system32\dllcache\iexplore.exe "%programfiles%\Internet Explorer"    （别忘了引号）
6、@echo ylcacls %systemroot%\system32\msvcrl.dll /d everyone
如果是想把y传递给cacls，应该用“|”符号，而不是字母“l”，即@echo y|cacls %systemroot%\system32\msvcrl.dll /d everyone

另外有一点我不能确定：
Taskkill /f /im Iexplorer.exe
没测过这个病毒，不知道他是否会创建Iexplorer.exe进程，但是看你写的那段分析，应该是不会！
且下面的步骤要把%programfiles%\Internet Explorer\iexplore.exe文件删除，如果存在IE进程，通过del命令是无法删除的，所以我想应该是Taskkill /f /im Iexplore.exe

还是利用直观工具比较好

这玩意吃不消。

1.0正式版

附件: Trojan-Spy.Win32.Goldun.ms木马清除及免疫工具v1.0正式版.rar

很方便按2下键盘就OK可是就不知道效果怎么样没见具体效果