瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 Trojan-Spy.Win32.Goldun.ms木马清除及免疫工具.bat

1   1  /  1  页   跳转

[原创] Trojan-Spy.Win32.Goldun.ms木马清除及免疫工具.bat

Trojan-Spy.Win32.Goldun.ms木马清除及免疫工具.bat

Trojan-Spy.Win32.Goldun.ms木马清除及免疫工具.bat
这是我刚刚编写的Trojan-Spy.Win32.Goldun.ms木马清除及免疫工具,希望大家进行测试,多提意见,进行改进。
o(∩_∩)o...


用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; QQDownload 1.7; WPS; baiduds)

附件附件:

下载次数:238
文件类型:application/octet-stream
文件大小:
上传时间:2008-6-23 15:27:16
描述:rar

本帖被评分 1 次
最后编辑zongabbs 最后编辑于 2008-06-23 15:27:16
分享到:
gototop
 

回复: Trojan-Spy.Win32.Goldun.ms木马清除及免疫工具.bat

熟悉批处理编程的都看看了,以下是楼主批处理文件的内容,请有兴趣的朋友研究下(注意维护作者版权):


@ECHO off
title Trojan-Spy.Win32.Goldun.ms木马清除器 by:Zonga 1.0Beta1
cls
color F0
echo ======================================
echo =Trojan-Spy.Win32.Goldun.ms木马清除器=
echo =版本:1.0Beta1    Zonga制作        =
echo =Http://hi.baidu.com/zonga          =
echo ======================================
echo 本程序用于清楚Trojan-Spy.Win32.Goldun.ms木马
echo 病毒资料:
echo 病毒名称: Trojan-Spy.Win32.Goldun.ms
echo 病毒类型: 木马
echo 中文名称: 金盾
echo 文件 MD5: D0BA8262D140F5689BA34E0D175A3C1A
echo 公开范围: 完全公开
echo 危害等级: 5
echo 文件长度: 48,184 字节
echo 感染系统: Windows98以上版本
echo 开发工具: Microsoft Visual C++ 6.0
echo 加壳类型: UPX 0.89.6 - 1.02 / 1.05 - 1.24
echo 正准备运行清除工具
echo 按任意键开始
pause
Taskkill /f /im Iexplorer.exe
del /f %System32%msvcrl.dll
del /f %Temp%pda****.tmp
echo 病毒清除完毕
echo 病毒已损坏IE,请重新安装
echo 该病毒属木马类。病毒运行后尝试创建名为qo823wtifs_ssn的互斥体;检测%System32%下是否有msvcrl.dll,若存在移动到%Temp%目录下,更名为pda****.tmp(“****”为程序运行时获取的系统启动时间的尾四位);衍生msvcrl.dll文件到%System32%下,根据系统版本不同调用sfc_os.dll 和sfc.dll,对经过字符转换的iexplore.exe文件路径进行处理,使“Windows 文件保护”功能对%Programe Files%\Internet Explorer\iexplore.exe文件失效;检测当前进程列表,结束所有iexplorer.exe进程,移动%Programe Files%\Internet Explorer\iexplore.exe文件到%Temp%目录下,更名为xa****.tmp(文件病毒名后四位为随机数字或大写字母所组成),修改%Programe Files%\InternetExplorer\iexplore.exe文件导入函数表结构,添加msvcrl.dll文件中唯一函数Proc到导入函数表中,实现当运行iexplore.exe时msvcrl.dll文件的自动加载,衍生a.bat文件到程序执行的当前目录下删除病毒文件和自身。  msvcrl.dll文件伪装系统动态连接库文件,具有微软版本信息;被加载到IE进程中后将连接网络,获取下载列表,下载病毒文件等。盗取用户“ftp”、“outlook”、“Firefox”、“ICQ”、“MSN”、“AOL”和“YAHOO”等会员帐户的登陆帐号与登陆密码等信息,监听“E-Gold”的加密连接http://www.e-gold.com,获取用户登陆信息;将窃取到的这些机密信息资料发送到指定地址。
echo 按任意键进行免疫工作
pause
Copy msvcrl.dll %System32%
attrib +s +h +r %System32%msvcrl.dll
ylcacls %System32%msvcrl.dll /d everyone
echo 免疫完毕,(*^__^*) 嘻嘻……,谢谢使用
echo 【版本更新】
echo 【1.0Beta1  2008.6.23】
echo 第一个版本,仅供测试
echo ======================================
echo =Trojan-Spy.Win32.Goldun.ms木马清除器=
echo =版本:1.0Beta1    Zonga制作        =
echo =Http://hi.baidu.com/zonga          =
echo ======================================
最后编辑超级游戏迷 最后编辑于 2008-06-23 16:16:22
打酱油的……
gototop
 

回复: Trojan-Spy.Win32.Goldun.ms木马清除及免疫工具.bat

我也喜欢批处理。

  • 好的方面:注释很多,很详细,赞一下。

  • 需要完善的地方:
del /f %System32%msvcrl.dll ::系统变量名错误,路径不合法
del /f %Temp%pda****.tmp ::路径不合法
Copy msvcrl.dll %System32% ::系统变量名错误,路径不合法
attrib +s +h +r %System32%msvcrl.dll ::系统变量名错误,路径不合法
ylcacls %System32%msvcrl.dll /d everyone ::不是有效的系统命令,系统变量名错误,路径不合法

本帖被评分 1 次
gototop
 

回复:Trojan-Spy.Win32.Goldun.ms木马清除及免疫工具.bat

感谢三楼
我正在修改
gototop
 

回复:Trojan-Spy.Win32.Goldun.ms木马清除及免疫工具.bat

Trojan-Spy.Win32.Goldun.ms木马清除及免疫工具.bat
1.0Beta2制作完成,请大家多多指教

附件附件:

下载次数:151
文件类型:application/octet-stream
文件大小:
上传时间:2008-6-24 8:17:58
描述:Trojan-Spy.Win32.Goldun.ms木马清除及免疫工具v1.0Beta2

本帖被评分 1 次
gototop
 

回复: Trojan-Spy.Win32.Goldun.ms木马清除及免疫工具.bat

注释很详细,再赞一下

以下部分建议修改(个人建议,仅供参考):
1、echo 本程序用于清楚Trojan-Spy.Win32.Goldun.ms木马 
应该是清除吧
2、del /f %Temp%\pda****.tmp 
可改为del /f %Temp%\pda*.tmp,若只想删除pda后面是固定4位随机字符的.tmp则可改成del /f %Temp%\pda????.tmp)
3、ren %Temp%\xa****.tmp iexplore.exe
同上,且如果%temp%下存在多个以xa开头的.tmp文件,则只会重命名第一个,其他的会提示已经存在同名文件;
4、del /f %programfiles%\Internet Explorer\iexplore.exe
加引号,del /f "%programfiles%\Internet Explorer\iexplore.exe"
5、copy %Temp%\iexplore.exe %programfiles%\Internet Explorer
加引号,另外如果dllcache下的iexplore.exe未被破坏,建议直接从dllcache下恢复,即copy /y %systemroot%\system32\dllcache\iexplore.exe "%programfiles%\Internet Explorer"    (别忘了引号)
6、@echo ylcacls %systemroot%\system32\msvcrl.dll /d everyone
如果是想把y传递给cacls,应该用“|”符号,而不是字母“l”,即@echo y|cacls %systemroot%\system32\msvcrl.dll /d everyone

另外有一点我不能确定:
Taskkill /f /im Iexplorer.exe
没测过这个病毒,不知道他是否会创建Iexplorer.exe进程,但是看你写的那段分析,应该是不会!
且下面的步骤要把%programfiles%\Internet Explorer\iexplore.exe文件删除,如果存在IE进程,通过del命令是无法删除的,所以我想应该是Taskkill /f /im Iexplore.exe
最后编辑lqqk7 最后编辑于 2008-06-24 11:00:48
gototop
 

回复:Trojan-Spy.Win32.Goldun.ms木马清除及免疫工具.bat

还是利用直观工具比较好

这玩意吃不消。
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 

回复:Trojan-Spy.Win32.Goldun.ms木马清除及免疫工具.bat

1.0正式版

附件附件:

下载次数:167
文件类型:application/octet-stream
文件大小:
上传时间:2008-6-24 16:43:39
描述:Trojan-Spy.Win32.Goldun.ms木马清除及免疫工具v1.0正式版

gototop
 

回复:Trojan-Spy.Win32.Goldun.ms木马清除及免疫工具.bat

很方便按2下键盘就OK可是就不知道效果怎么样没见具体效果
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT