sichost.exe,winxphelp.exe,360up.exe,RavNT.exe,Counter.exe,login.jpg.exe等2

sichost.exe,winxphelp.exe,360up.exe,RavNT.exe,Counter.exe,login.jpg.exe等2

endurer 原创

2008-07-11 第1版

运行 bat_do，输入并执行命令：

D:/tools>dir c:/ /ad /od 驱动器 C 中的卷没有标签。 卷的序列号是 1513-33FE

c:/ 的目录

2000-07-08 13:57 <DIR> 5502921

2000-07-08 14:00 <DIR> 5669406

2000-07-08 14:11 <DIR> 6327921

2000-07-08 14:13 <DIR> 6452875

2000-07-08 14:16 <DIR> 6628093

2000-07-08 14:19 <DIR> 6805046

2000-07-08 14:20 <DIR> 6907140

2000-07-08 14:23 <DIR> 7101234

2000-07-08 14:27 <DIR> 7291593

2000-07-08 14:30 <DIR> 7487453

2000-07-08 14:32 <DIR> 7592578

2001-07-08 14:38 <DIR> 7958296

2001-07-08 20:36 <DIR> 193968

2004-05-19 15:22 <DIR> WINDOWS

2004-05-19 15:29 <DIR> Documents and Settings

2004-05-19 15:42 <DIR> Program Files

2004-05-19 15:46 <DIR> System Volume Information

2004-05-19 16:40 <DIR> Recycled

2008-07-08 21:11 <DIR> 80031

2008-07-08 23:27 <DIR> 157515

发现C盘下有不少纯数字的文件夹。看看里面是什么东东。

D:/tools>dir c:/5502921 /a

驱动器 C 中的卷没有标签。

卷的序列号是 1513-33FE

c:/5502921 的目录

2000-07-08 13:57 <DIR> .

2000-07-08 13:57 <DIR> ..

2000-07-08 14:00 30,840 9703.671

2000-07-08 14:01 44 5754421.bat

2 个文件 30,884 字节

2 个目录 1,390,428,160 可用字节

里面居然有个bat文件，看看它的内容：

D:/tools>type c:/5502921/5754421.bat

del "C:/DOCUME~1/user/LOCALS~1/Temp/orz.exe"

原来是用来删除下载到临时文件夹中的病毒文件的bat~

再看一个文件夹：

D:/tools>dir C:/5669406 /a

驱动器 C 中的卷没有标签。

卷的序列号是 1513-33FE

C:/5669406 的目录

2000-07-08 14:00 <DIR> .

2000-07-08 14:00 <DIR> ..

2000-07-08 14:03 30,840 3532.500

2000-07-08 14:03 44 5873218.bat

2 个文件 30,884 字节

2 个目录 1,390,428,160 可用字节

里面的文件与前面那个相似，bat文件的内容也相似：

D:/tools>type C:/5669406/5873218.bat

del "C:/DOCUME~1/user/LOCALS~1/Temp/orz.exe"

用 FileInfo 检查：

文件说明符 : C:/5502921/9703.671

属性 : A---

数字签名:否

PE文件:是获取文件版本信息大小失败!

创建时间 : 2000-7-8 14:0:56

修改时间 : 2000-7-8 14:0:58

大小 : 30840 字节 30.120 KB

MD5 : 9527a14f4190e49ec31e601295a5717c

SHA1: 604A27B2DEEF7315D2D9015C6AC7993276B8CA2F

CRC32: 67e85e22

文件说明符 : C:/5502921/9703.671

属性 : A---

数字签名:否

PE文件:是获取文件版本信息大小失败!

创建时间 : 2000-7-8 14:0:56

修改时间 : 2000-7-8 14:0:58

大小 : 30840 字节 30.120 KB

MD5 : 9527a14f4190e49ec31e601295a5717c

SHA1: 604A27B2DEEF7315D2D9015C6AC7993276B8CA2F

CRC32: 67e85e22

文件内容是相同的，都是PE格式的可执行文件，是下载的病毒文件。

下面开始进行修复了~

（未完待续）