sichost.exe,winxphelp.exe,360up.exe,RavNT.exe,Counter.exe,login.jpg.exe等2
endurer 原创
2008-07-11 第1版
运行 bat_do,输入并执行命令:
D:/tools>dir c:/ /ad /od 驱动器 C 中的卷没有标签。 卷的序列号是 1513-33FE
c:/ 的目录
2000-07-08 13:57 <DIR> 5502921
2000-07-08 14:00 <DIR> 5669406
2000-07-08 14:11 <DIR> 6327921
2000-07-08 14:13 <DIR> 6452875
2000-07-08 14:16 <DIR> 6628093
2000-07-08 14:19 <DIR> 6805046
2000-07-08 14:20 <DIR> 6907140
2000-07-08 14:23 <DIR> 7101234
2000-07-08 14:27 <DIR> 7291593
2000-07-08 14:30 <DIR> 7487453
2000-07-08 14:32 <DIR> 7592578
2001-07-08 14:38 <DIR> 7958296
2001-07-08 20:36 <DIR> 193968
2004-05-19 15:22 <DIR> WINDOWS
2004-05-19 15:29 <DIR> Documents and Settings
2004-05-19 15:42 <DIR> Program Files
2004-05-19 15:46 <DIR> System Volume Information
2004-05-19 16:40 <DIR> Recycled
2008-07-08 21:11 <DIR> 80031
2008-07-08 23:27 <DIR> 157515
发现C盘下有不少纯数字的文件夹。看看里面是什么东东。
D:/tools>dir c:/5502921 /a
驱动器 C 中的卷没有标签。
卷的序列号是 1513-33FE
c:/5502921 的目录
2000-07-08 13:57 <DIR> .
2000-07-08 13:57 <DIR> ..
2000-07-08 14:00 30,840 9703.671
2000-07-08 14:01 44 5754421.bat
2 个文件 30,884 字节
2 个目录 1,390,428,160 可用字节
里面居然有个bat文件,看看它的内容:
D:/tools>type c:/5502921/5754421.bat
del "C:/DOCUME~1/user/LOCALS~1/Temp/orz.exe"
原来是用来删除下载到临时文件夹中的病毒文件的bat~
再看一个文件夹:
D:/tools>dir C:/5669406 /a
驱动器 C 中的卷没有标签。
卷的序列号是 1513-33FE
C:/5669406 的目录
2000-07-08 14:00 <DIR> .
2000-07-08 14:00 <DIR> ..
2000-07-08 14:03 30,840 3532.500
2000-07-08 14:03 44 5873218.bat
2 个文件 30,884 字节
2 个目录 1,390,428,160 可用字节
里面的文件与前面那个相似,bat文件的内容也相似:
D:/tools>type C:/5669406/5873218.bat
del "C:/DOCUME~1/user/LOCALS~1/Temp/orz.exe"
用 FileInfo 检查:
文件说明符 : C:/5502921/9703.671
属性 : A---
数字签名:否
PE文件:是获取文件版本信息大小失败!
创建时间 : 2000-7-8 14:0:56
修改时间 : 2000-7-8 14:0:58
大小 : 30840 字节 30.120 KB
MD5 : 9527a14f4190e49ec31e601295a5717c
SHA1: 604A27B2DEEF7315D2D9015C6AC7993276B8CA2F
CRC32: 67e85e22
文件说明符 : C:/5502921/9703.671
属性 : A---
数字签名:否
PE文件:是获取文件版本信息大小失败!
创建时间 : 2000-7-8 14:0:56
修改时间 : 2000-7-8 14:0:58
大小 : 30840 字节 30.120 KB
MD5 : 9527a14f4190e49ec31e601295a5717c
SHA1: 604A27B2DEEF7315D2D9015C6AC7993276B8CA2F
CRC32: 67e85e22
文件内容是相同的,都是PE格式的可执行文件,是下载的病毒文件。
下面开始进行修复了~
(未完待续)