6,185
社区成员
发帖
与我相关
我的任务
分享[讨论]Virus.Win32.Tc.bat 恶意病毒专杀处理方案
本贴只求讨论
___________________________________________________________________________________
接分请到:http://topic.csdn.net/u/20100904/08/42ca6962-a053-4a18-bc29-a2621789b302.html
博客链接:http://blog.csdn.net/just4/archive/2010/09/03/5862337.aspx
___________________________________________________________________________________
直接贴大致原文:
去年中的一个病毒,如今仍阴魂不散,专杀是没有了,网上搜索倒是一大堆问号
本病毒大致有几个比较明显特点(注,仅限去年传播的版本):
1. 采用dll替换方式,直接注入svchost.exe运行,迅速破坏系统众多服务,重启无效,这一行为相当恶劣,其中bits服务肯定是首当其冲的
2. 迅速感染全盘所有exe/html之类可执行文件,不停调用rar.exe感染压缩包内文件,这一行径过于卑鄙,让人损失巨大,利用常人心态是一件很可怕的事,你是常人吗?
3. 不停利用svchost.exe后台加载ie下载大量木马,进一步破坏系统,你就找不着iexplore.exe进程在哪里
4. 直接利用IFEO破坏杀软,直接删除safeboot造成安全模式蓝屏,甭想着一着毒就杀软,安全模式了,压根没用
5. 到如今仍没有专杀工具,杀毒软件对压缩包查杀能力太差,被破坏的exe程序无法再修复
可惜很多压缩包,很多资料资料未处理,杀软对压缩包和特殊处理文件过于软弱,更谈不上修复了
重要是穷得可怜,整盘的资料没地方搁,为求性能,杀软又不会装:)
还好,每次凭感觉,三下五除二,马上消灭隐藏的火星,可是呢,待到何年月才会翻完这么多的资料呢
废话扯多了,只求仁者仁、智者智,高出几个高手,指点下江下,给出一个专业级的查杀和修复工具,天下福音了
以下是自己的脚本:Virus.Win32.Tc.bat 恶意病毒专杀处理方案(仅作自己手杀的辅助工具,注意看清楚了适用条件,可能你会因此而想到很多哦)
___________________________________________________________________________________
[code=BatchFile]@echo off
title Virus.Win32.Tc专杀
color 2f
::mode con cols=110 lines=40
echo -----------------------------------------------------------------------------
echo 名称:Virus.Win32.Tc.bat 恶意病毒专杀处理方案
echo.
echo 作者:Just4/CSDN
echo.
echo 日期:2010.09.03
echo ----------------------------------------------------------------------------
:: 说明:Virus.Win32.Tc、Type_Win32、Virus.Win32.Parite.b 一大堆关联名字
::
:: 病毒特点:
::
:: 1. 采用dll替换方式,直接注入svchost.exe运行,迅速破坏系统众多服务,重启无效,这一点行为相当恶劣
::
:: 2. 迅速全盘感染所有exe等文件,不停调用rar.exe感染压缩包内文件,这一点行径过于卑鄙,让人损失巨大
::
:: 3. 不停利用svchost.exe后台加载ie下载大量木马,进一步破坏系统
::
:: 4. 直接利用IFEO破坏杀软,直接删除Safeboot造成安全模式蓝屏
::
:: 5. 到如今仍没有专杀工具,杀毒软件对压缩包查杀能力太差,被破坏的exe程序无法再修复
::
:: 注意:本脚本并不清理启动项、木马和垃圾,并不修复exe/rar等被感染文件
::
:: 仅适于Win2k3平台,手工升级SP2补丁,否则修复无效,错误信息是为手工查杀作准备的
::
:: 希望有高手朋友能给出一个像样的专杀方案,多谢:)
:: ----------------------------------------------------------------------------
echo 按任意键开始查杀病毒......
ping 127.1 -n 2 >nul 2>&1
pause>nul
cls
echo ## 开始查杀病毒!!!
echo.
echo #1.先杀掉依赖进程svchost.exe
echo # 以lanmanserver/netman/wzcsvc/audiosrv/w32time等为特征
rem tasklist /m srvsvc.dll
for /f "skip=2 tokens=1,2" %%i in ('tasklist /m srvsvc.dll') do if "%%i"=="svchost.exe" taskkill /pid %%j /f /t
echo.
echo #2.再杀掉木马后台下载进程iexplore.exe(实为svchost.exe加载)
echo # 最好及时断网处理
taskkill /im iexplore.exe /f /t
echo.
echo #3.删除IFEO限制
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options" /f
echo.
echo #4.修复Safeboot蓝屏,需有Safeboot.reg备份
rem reg import safeboot.reg
echo.
echo #5.删除病毒传播体lsasvc.dll
if not exist "%systemroot%\system32\lsasvc.dll\" (
del %systemroot%\system32\lsasvc.dll /s /f
md %systemroot%\system32\lsasvc.dll\test..\
attrib %systemroot%\system32\lsasvc.dll +s +h +r
echo y|cacls %systemroot%\system32\lsasvc.dll /d everyone
)
echo.
echo #6.删除感染程序释放的病毒体backup.exe
if not exist "%temp%\backup.exe\" (
del "%temp%\backup.exe" /f /a
md "%temp%\backup.exe\test..\"
attrib "%temp%\backup.exe\test..\" +s +h +r
echo y|cacls "%temp%\backup.exe" /d everyone
)
echo.
echo #7.删除回收站隐藏病毒体~df*.exe
del %sysdrive%\recycler\*.exe /s /f /a
echo.
echo #8.删除rar.exe以避免压缩文档损失
if not exist "%programfiles%\winrar\rar.exe\" (
del "%programfiles%\winrar\rar.exe" /f
md "%programfiles%\winrar\rar.exe\test..\"
attrib "%programfiles%\winrar\rar.exe" +r +s +h
echo y|cacls "%programfiles%\winrar\rar.exe" /d everyone
)
echo.
echo #9.删除系统目录下的隐藏病毒文件,并不删除其它目录下病毒文件
del %systemroot%\system32\*.exe /s /ah /f
del %systemroot%\system32\*.dll /s /ah /f
del %systemroot%\system32\*.sys /s /ah /f
del %systemroot%\system32\*.fon /s /ah /f
del %systemroot%\system32\*.
echo.
echo -----------------------------------------------------------------------------
echo ## 开始修复被替换的系统服务项,需有补丁备份,需重启修复启动类型
ping 127.1 -n 2 >nul 2>&1
echo.
echo # 修复后台更新服务Bits --^> qmgr.dll
del %systemroot%\system32\qmgr.dll /s /f /a
copy %systemroot%\ServicePackFiles\i386\qmgr.dll %systemroot%\system32\qmgr.dll /y
sc config bits start= disabled
echo.
echo # 修复远程注册表服务Regsvc --^> regsvc.dll
del %systemroot%\system32\regsvc.dll /s /f /a
copy %systemroot%\ServicePackFiles\i386\regsvc.dll %systemroot%\system32\regsvc.dll /y
sc config regsvc start= disabled
echo.
echo # 修复计划任务服务Schedule --^> schedsvc.dll
del %systemroot%\system32\schedsvc.dll /s /f /a
copy %systemroot%\ServicePackFiles\i386\schedsvc.dll %systemroot%\system32\ /y
sc config schedule start= disabled
echo.
echo # 修复帮助和支持服务Helpsvc --^> pchsvc.dll
del %systemroot%\system32\pchsvc.dll /s /f /a
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Helpsvc\parameters" /v ServiceDll /t reg_expand_sz /d "%WINDIR%\PCHealth\HelpCtr\Binaries\pchsvc.dll" /f
echo.
echo # 修复管理Xml配置文件服务Xmlporv --^> xmlprov.dll
del %systemroot%\system32\xmlprov.dll /s /f
copy %systemroot%\ServicePackFiles\i386\xmlprov.dll %systemroot%\system32\ /y
sc config xmlprov start= disabled
echo.
echo # 修复便携的媒体序号服务WmDmPmSn --^> mspmsnsv.dll
del %systemroot%\system32\mspmsnsv.dll /s /f
copy %systemroot%\ServicePackFiles\i386\mspmsnsv.dll %systemroot%\system32\ /y
sc config wmdmpmsn start= disabled
echo.
echo # 直接删除可移动存储管理程序Ntmssvc --^> ntmssvc.dll
del %systemroot%\system32\ntmssvc.dll /s /f
sc delete ntmssvc /f
echo.
echo # 直接删除Ias服务 --^> ias.dll
del %systemroot%\system32\ias.dll /s /f
sc delete ias /f
echo.
echo # 修复拨号网络服务tapisrv --^> tapisrv.dll
del %systemroot%\system32\tapisrv.dll /s /f /a
copy %systemroot%\ServicePackFiles\i386\tapisrv.dll %systemroot%\system32\ /y
sc config tapisrv start= demand
echo.
echo # 修复应用程序管理服务Appmgmt --^> appmgmts.dll
del %systemroot%\system32\appmgmts.dll /s /f /a
copy %systemroot%\ServicePackFiles\i386\appmgmts.dll %systemroot%\system32\ /y
reg add "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\AppMgmt" /v Start /t reg_dword /d 3 /f
echo.
echo # 修复加密服务Cryptsvc --^> cryptsvc.dll
del %systemroot%\system32\cryptsvc.dll /s /f /a
copy %systemroot%\ServicePackFiles\i386\cryptsvc.dll %systemroot%\system32\ /y
echo y|cacls %systemroot%\system32\cryptsvc.dll /g system:r administrators:r
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CryptSvc" /v Start /t reg_dword /d 3 /f
echo.
echo # 修复共享服务browser --^> srvsvc.dll/wkssvc.dll/browser.dll
del %systemroot%\system32\browser.dll
copy %systemroot%\ServicePackFiles\i386\browser.dll %systemroot%\system32\ /y
sc config browser start= demand
echo.
echo -----------------------------------------------------------------------------
echo # 修复完成,请及时征对各项提示分别进行再处理!!!
echo.
echo # 最好重启系统再运行一遍,直接进安全模式用杀软全盘查杀!!!
echo.
echo # 仅适于系统异常时立即进行查杀,错误信息仅为手工二次查杀做准备!!!
rem 直接重启
rem shutdown /r /t 0 /f
rem 不重启直接恢复系统重要服务
net start lanmanserver >nul 2>&1
net start lanmanworkstation >nul 2>&1
net start audiosrv >nul 2>&1
net start netman >nul 2>&1
net start wzcsvc >nul 2>&1
net start helpsvc >nul 2>&1
net start winmgmt >nul 2>&1
pause>nul[/code]
___________________________________________________________________________________
接分请到:http://topic.csdn.net/u/20100904/08/42ca6962-a053-4a18-bc29-a2621789b302.html
博客链接:http://blog.csdn.net/just4/archive/2010/09/03/5862337.aspx
___________________________________________________________________________________
直接贴大致原文:
去年中的一个病毒,如今仍阴魂不散,专杀是没有了,网上搜索倒是一大堆问号
本病毒大致有几个比较明显特点(注,仅限去年传播的版本):
1. 采用dll替换方式,直接注入svchost.exe运行,迅速破坏系统众多服务,重启无效,这一行为相当恶劣,其中bits服务肯定是首当其冲的
2. 迅速感染全盘所有exe/html之类可执行文件,不停调用rar.exe感染压缩包内文件,这一行径过于卑鄙,让人损失巨大,利用常人心态是一件很可怕的事,你是常人吗?
3. 不停利用svchost.exe后台加载ie下载大量木马,进一步破坏系统,你就找不着iexplore.exe进程在哪里
4. 直接利用IFEO破坏杀软,直接删除safeboot造成安全模式蓝屏,甭想着一着毒就杀软,安全模式了,压根没用
5. 到如今仍没有专杀工具,杀毒软件对压缩包查杀能力太差,被破坏的exe程序无法再修复
可惜很多压缩包,很多资料资料未处理,杀软对压缩包和特殊处理文件过于软弱,更谈不上修复了
重要是穷得可怜,整盘的资料没地方搁,为求性能,杀软又不会装:)
还好,每次凭感觉,三下五除二,马上消灭隐藏的火星,可是呢,待到何年月才会翻完这么多的资料呢
废话扯多了,只求仁者仁、智者智,高出几个高手,指点下江下,给出一个专业级的查杀和修复工具,天下福音了
以下是自己的脚本:Virus.Win32.Tc.bat 恶意病毒专杀处理方案(仅作自己手杀的辅助工具,注意看清楚了适用条件,可能你会因此而想到很多哦)
___________________________________________________________________________________
[code=BatchFile]@echo off
title Virus.Win32.Tc专杀
color 2f
::mode con cols=110 lines=40
echo -----------------------------------------------------------------------------
echo 名称:Virus.Win32.Tc.bat 恶意病毒专杀处理方案
echo.
echo 作者:Just4/CSDN
echo.
echo 日期:2010.09.03
echo ----------------------------------------------------------------------------
:: 说明:Virus.Win32.Tc、Type_Win32、Virus.Win32.Parite.b 一大堆关联名字
::
:: 病毒特点:
::
:: 1. 采用dll替换方式,直接注入svchost.exe运行,迅速破坏系统众多服务,重启无效,这一点行为相当恶劣
::
:: 2. 迅速全盘感染所有exe等文件,不停调用rar.exe感染压缩包内文件,这一点行径过于卑鄙,让人损失巨大
::
:: 3. 不停利用svchost.exe后台加载ie下载大量木马,进一步破坏系统
::
:: 4. 直接利用IFEO破坏杀软,直接删除Safeboot造成安全模式蓝屏
::
:: 5. 到如今仍没有专杀工具,杀毒软件对压缩包查杀能力太差,被破坏的exe程序无法再修复
::
:: 注意:本脚本并不清理启动项、木马和垃圾,并不修复exe/rar等被感染文件
::
:: 仅适于Win2k3平台,手工升级SP2补丁,否则修复无效,错误信息是为手工查杀作准备的
::
:: 希望有高手朋友能给出一个像样的专杀方案,多谢:)
:: ----------------------------------------------------------------------------
echo 按任意键开始查杀病毒......
ping 127.1 -n 2 >nul 2>&1
pause>nul
cls
echo ## 开始查杀病毒!!!
echo.
echo #1.先杀掉依赖进程svchost.exe
echo # 以lanmanserver/netman/wzcsvc/audiosrv/w32time等为特征
rem tasklist /m srvsvc.dll
for /f "skip=2 tokens=1,2" %%i in ('tasklist /m srvsvc.dll') do if "%%i"=="svchost.exe" taskkill /pid %%j /f /t
echo.
echo #2.再杀掉木马后台下载进程iexplore.exe(实为svchost.exe加载)
echo # 最好及时断网处理
taskkill /im iexplore.exe /f /t
echo.
echo #3.删除IFEO限制
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options" /f
echo.
echo #4.修复Safeboot蓝屏,需有Safeboot.reg备份
rem reg import safeboot.reg
echo.
echo #5.删除病毒传播体lsasvc.dll
if not exist "%systemroot%\system32\lsasvc.dll\" (
del %systemroot%\system32\lsasvc.dll /s /f
md %systemroot%\system32\lsasvc.dll\test..\
attrib %systemroot%\system32\lsasvc.dll +s +h +r
echo y|cacls %systemroot%\system32\lsasvc.dll /d everyone
)
echo.
echo #6.删除感染程序释放的病毒体backup.exe
if not exist "%temp%\backup.exe\" (
del "%temp%\backup.exe" /f /a
md "%temp%\backup.exe\test..\"
attrib "%temp%\backup.exe\test..\" +s +h +r
echo y|cacls "%temp%\backup.exe" /d everyone
)
echo.
echo #7.删除回收站隐藏病毒体~df*.exe
del %sysdrive%\recycler\*.exe /s /f /a
echo.
echo #8.删除rar.exe以避免压缩文档损失
if not exist "%programfiles%\winrar\rar.exe\" (
del "%programfiles%\winrar\rar.exe" /f
md "%programfiles%\winrar\rar.exe\test..\"
attrib "%programfiles%\winrar\rar.exe" +r +s +h
echo y|cacls "%programfiles%\winrar\rar.exe" /d everyone
)
echo.
echo #9.删除系统目录下的隐藏病毒文件,并不删除其它目录下病毒文件
del %systemroot%\system32\*.exe /s /ah /f
del %systemroot%\system32\*.dll /s /ah /f
del %systemroot%\system32\*.sys /s /ah /f
del %systemroot%\system32\*.fon /s /ah /f
del %systemroot%\system32\*.
echo.
echo -----------------------------------------------------------------------------
echo ## 开始修复被替换的系统服务项,需有补丁备份,需重启修复启动类型
ping 127.1 -n 2 >nul 2>&1
echo.
echo # 修复后台更新服务Bits --^> qmgr.dll
del %systemroot%\system32\qmgr.dll /s /f /a
copy %systemroot%\ServicePackFiles\i386\qmgr.dll %systemroot%\system32\qmgr.dll /y
sc config bits start= disabled
echo.
echo # 修复远程注册表服务Regsvc --^> regsvc.dll
del %systemroot%\system32\regsvc.dll /s /f /a
copy %systemroot%\ServicePackFiles\i386\regsvc.dll %systemroot%\system32\regsvc.dll /y
sc config regsvc start= disabled
echo.
echo # 修复计划任务服务Schedule --^> schedsvc.dll
del %systemroot%\system32\schedsvc.dll /s /f /a
copy %systemroot%\ServicePackFiles\i386\schedsvc.dll %systemroot%\system32\ /y
sc config schedule start= disabled
echo.
echo # 修复帮助和支持服务Helpsvc --^> pchsvc.dll
del %systemroot%\system32\pchsvc.dll /s /f /a
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Helpsvc\parameters" /v ServiceDll /t reg_expand_sz /d "%WINDIR%\PCHealth\HelpCtr\Binaries\pchsvc.dll" /f
echo.
echo # 修复管理Xml配置文件服务Xmlporv --^> xmlprov.dll
del %systemroot%\system32\xmlprov.dll /s /f
copy %systemroot%\ServicePackFiles\i386\xmlprov.dll %systemroot%\system32\ /y
sc config xmlprov start= disabled
echo.
echo # 修复便携的媒体序号服务WmDmPmSn --^> mspmsnsv.dll
del %systemroot%\system32\mspmsnsv.dll /s /f
copy %systemroot%\ServicePackFiles\i386\mspmsnsv.dll %systemroot%\system32\ /y
sc config wmdmpmsn start= disabled
echo.
echo # 直接删除可移动存储管理程序Ntmssvc --^> ntmssvc.dll
del %systemroot%\system32\ntmssvc.dll /s /f
sc delete ntmssvc /f
echo.
echo # 直接删除Ias服务 --^> ias.dll
del %systemroot%\system32\ias.dll /s /f
sc delete ias /f
echo.
echo # 修复拨号网络服务tapisrv --^> tapisrv.dll
del %systemroot%\system32\tapisrv.dll /s /f /a
copy %systemroot%\ServicePackFiles\i386\tapisrv.dll %systemroot%\system32\ /y
sc config tapisrv start= demand
echo.
echo # 修复应用程序管理服务Appmgmt --^> appmgmts.dll
del %systemroot%\system32\appmgmts.dll /s /f /a
copy %systemroot%\ServicePackFiles\i386\appmgmts.dll %systemroot%\system32\ /y
reg add "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\AppMgmt" /v Start /t reg_dword /d 3 /f
echo.
echo # 修复加密服务Cryptsvc --^> cryptsvc.dll
del %systemroot%\system32\cryptsvc.dll /s /f /a
copy %systemroot%\ServicePackFiles\i386\cryptsvc.dll %systemroot%\system32\ /y
echo y|cacls %systemroot%\system32\cryptsvc.dll /g system:r administrators:r
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CryptSvc" /v Start /t reg_dword /d 3 /f
echo.
echo # 修复共享服务browser --^> srvsvc.dll/wkssvc.dll/browser.dll
del %systemroot%\system32\browser.dll
copy %systemroot%\ServicePackFiles\i386\browser.dll %systemroot%\system32\ /y
sc config browser start= demand
echo.
echo -----------------------------------------------------------------------------
echo # 修复完成,请及时征对各项提示分别进行再处理!!!
echo.
echo # 最好重启系统再运行一遍,直接进安全模式用杀软全盘查杀!!!
echo.
echo # 仅适于系统异常时立即进行查杀,错误信息仅为手工二次查杀做准备!!!
rem 直接重启
rem shutdown /r /t 0 /f
rem 不重启直接恢复系统重要服务
net start lanmanserver >nul 2>&1
net start lanmanworkstation >nul 2>&1
net start audiosrv >nul 2>&1
net start netman >nul 2>&1
net start wzcsvc >nul 2>&1
net start helpsvc >nul 2>&1
net start winmgmt >nul 2>&1
pause>nul[/code]
...全文
请发表友善的回复…
发表回复
newfinder 2010-10-24
- 打赏
- 举报
强悍,上面的代码如何去写啊?是不是把dos命令连起来就可以了
ovecy 2010-10-07
- 打赏
- 举报
试用了,效果不是很好,会损坏WINDOWS系统,提示要使用光盘修复,不懂得慎用
jacksammo 2010-10-04
- 打赏
- 举报
强烈要求楼主发一个病毒样本。看看。。。
chenjiabao 2010-09-27
- 打赏
- 举报
强大的批,批掉木马、病毒!
平时做好数据的备份很重要
建议养成良好的上网习惯
使木马、病毒在萌芽状态夭折
建议安装avast
平时做好数据的备份很重要
建议养成良好的上网习惯
使木马、病毒在萌芽状态夭折
建议安装avast
xushipei 2010-09-21
- 打赏
- 举报
学习先
ljc007 2010-09-14
- 打赏
- 举报
感谢分享
批处理就是应该拿来做些有用的东西
批处理就是应该拿来做些有用的东西
qaz353811197 2010-09-14
- 打赏
- 举报
强人啊
line_us 2010-09-14
- 打赏
- 举报
这种病毒行径实在太恶劣,
一般病毒木马只是借用宿主IP带宽,
为自己刷些银两,并不破坏文件,
这位三下五除二通杀文件,
实在令人胆寒,
看来文件及时备份十分重要呀
一般病毒木马只是借用宿主IP带宽,
为自己刷些银两,并不破坏文件,
这位三下五除二通杀文件,
实在令人胆寒,
看来文件及时备份十分重要呀
就是just4 2010-09-14
- 打赏
- 举报
xiaoliang_c 2010-09-08
- 打赏
- 举报
强人~~~~~~~~
sharpcn0 2010-09-08
- 打赏
- 举报
把病毒发过来,中中看
janser08 2010-09-07
- 打赏
- 举报
好像没有碰到过,学习楼主了。谢谢。
wzgwin 2010-09-07
- 打赏
- 举报
路过学习。。
乐桐 2010-09-06
- 打赏
- 举报
收藏了慢慢看
xwmhn 2010-09-06
- 打赏
- 举报
强,LZ应该把这个病毒样本发到杀毒处理中心给你分析一下。。。这样处理速度会更快!
以上纯属个人建议!
以上纯属个人建议!
lst09 2010-09-06
- 打赏
- 举报
这个强,学习一下,支持just4!
就是just4 2010-09-06
- 打赏
- 举报
anquan1217 2010-09-06
- 打赏
- 举报
学习 学习
jackiedzc 2010-09-04
- 打赏
- 举报
大家快跟上!
周靖峰 2010-09-04
- 打赏
- 举报
强悍!
加载更多回复(5)
