删除Skypee顽固病毒(AutoIt3木马)

版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/u012107143/article/details/60575802

一、Skypee顽固病毒(AutoIt3木马)介绍


原理:

1.检查自身运行环境

2.创建开机自启动

3.感染全部磁盘

4.驻留内存并与服务器通信实现远程控制


症状:

1.无故创建快捷方式,一般在一级文件夹目录下包含有该文件夹名字的快捷方式。

2.U盘还有一些my games、my pictuers、my videos、hot、downloads、movies之类的类此Windows库文件夹的快捷方式。删除之后又会建立,无法彻底删除。

3.所有的这些快捷方式都被伪装为了文件夹的标志,并且指向一个叫AutoIt3.exe程序的位置。点击这些快捷方式,会触发病毒程序。


参考文献:

1.AutoIt木马又一发:暗藏神秘照片【http://sec.chinabyte.com/58/13094058.shtml?utm_source=tuicool&utm_medium=referral

2.电脑怎么彻底清除Skypee快捷方式病毒?【http://www.jb51.net/diannaojichu/461901.html



二、本杀毒程序介绍及下载


提供3种杀毒模式:

模式1:高速扫描全盘;杀毒时间短,但是占用资源比例高

模式2:以正常速度扫描全盘;杀毒时间较长,但是占用资源比例低

模式3:以正常速度扫描全盘和注册表;杀毒时间最长,但是比前两种模式更为彻底


【Skypee杀毒专版】下载地址:http://download.csdn.net/detail/u012107143/9771781


代码(代码已被封装为可执行文件,下载地址见上↑):

@echo off
setlocal ENABLEDELAYEDEXPANSION

title Skypee专版杀毒程序
mode con cols=100 lines=30
color 02

echo.
echo ===================================================================================================
echo.
echo                                       Skypee专版杀毒程序
echo.
echo ===================================================================================================
echo.
echo   杀毒模式选择:
echo.
echo     输入1--^>启动高速杀毒模式【杀毒时间短,但是系统资源占用比例较高】
echo.
echo     输入2--^>启动正常杀毒模式【系统资源占用比例较低,但是杀毒时间长】
echo.
echo     输入3--^>启动全面杀毒模式【全盘扫描文件和注册表,杀毒最彻底,但是杀毒时间最长,大概需要2-3小时】
echo.
echo.
echo   提示:如果是首次杀毒,建议选择模式1或2;如果模式1或2无效,建议选择模式3
echo.
echo.
echo ---------------------------------------------------------------------------------------------------
choice /c 123 /m 请输入:
if errorlevel 3 set level=3 & set delay=2 & cls & echo ^>^> 正在启动全面杀毒模式... & goto begin
if errorlevel 2 set level=2 & set delay=2 & cls & echo ^>^> 正在启动正常杀毒模式... & goto begin
if errorlevel 1 set level=1 & set delay=1 & cls & echo ^>^> 正在启动高速杀毒模式... 
:begin
ping -t -n 5 127.0.0.1>nul & cls


echo ^>^> 正在搜索并尝试关闭病毒进程...
ping -t -n 5 127.0.0.1>nul
taskkill /t /f /im AutoIt3.exe
if errorlevel 128 (
echo ^>^> 未发现病毒进程. & echo.
choice /c yn /m 请选择下一步操作:继续查杀【请输入y】;退出【请输入n】。
if errorlevel 2 exit
if errorlevel 1 goto tip1
)
if errorlevel 0 echo ^>^> 关闭成功.
ping -t -n 3 127.0.0.1>nul

:tip1
cls
echo ^>^> 正在清除病毒开机文件...
ping -t -n 5 127.0.0.1>nul
if exist "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\Windows Update.lnk" (
echo ^>^> 正在清除病毒开机文件【C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\Windows Update.lnk】
del /a "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\Windows Update.lnk"
echo ^>^> 清除成功. 
) else echo ^>^> 未发现病毒开机文件【Windows Update.lnk】
if exist "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\GoogleUpdate.lnk" (
echo ^>^> 正在清除病毒开机文件【C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\GoogleUpdate.lnk】
del /a "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\GoogleUpdate.lnk"
echo ^>^> 清除成功. 
) else echo ^>^> 未发现病毒开机文件【GoogleUpdate.lnk】 & echo.
ping -t -n 3 127.0.0.1>nul & cls

echo ^>^> 正在清除病毒注册表项...
ping -t -n 5 127.0.0.1>nul
echo ^>^> 正在删除病毒注册表项【HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run--AdopeFlash】
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /v "AdopeFlash" /f
echo ^>^> 正在删除病毒注册表项【HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run--AdopeUpdate】
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /v "AdopeUpdate" /f
echo ^>^> 正在删除病毒注册表项【HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run--Windows Update】
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /v "Windows Update" /f
echo ^>^> 正在删除病毒注册表项【HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store--C:\Google\AutoIt3.exe】
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store" /v "C:\Google\AutoIt3.exe" /f
ping -t -n 3 127.0.0.1>nul & cls

::遍历所有盘符
for /f "tokens=1,*" %%i in ('fsutil fsinfo drives') do set drives=%%j
for %%i in (%drives%) do (
set drive=%%i & set drive=!drive:~0,1!
!drive!: & cd \
echo ^>^> 正在准备扫描!drive!盘...
ping -t -n 10 127.0.0.1>nul & cls
echo ^>^> 正在删除病毒源文件...
ping -t -n 2 127.0.0.1>nul
if exist skypee (
echo ^>^> 删除病毒源文件【skypee目录】
rd /s /q skypee
)else echo ^>^> 未发现病毒源文件【skypee目录】
ping -t -n 2 127.0.0.1>nul
if exist google (
echo ^>^> 删除病毒源文件【google目录】
rd /s /q google
)else echo ^>^> 未发现病毒源文件【google目录】
ping -t -n 3 127.0.0.1>nul & cls
echo ^>^> 正在准备修复病毒感染文件...
ping -t -n 3 127.0.0.1>nul & cls
for /f "tokens=*" %%i in ('dir /ad /b /s *') do (
echo ^>^> 正在检查文件夹【%%i】
if exist %%i\%%~nxi.lnk echo ^>^> 正在删除伪装文件【%%i\%%~nxi.lnk】& del /a %%i\%%~nxi.lnk
ping -t -n %delay% 127.0.0.1>nul & cls
)
echo ^>^> !drive!盘扫描完毕,已修复.
ping -t -n 3 127.0.0.1>nul & cls
)

::扫描注册表
if level == 3 (
echo ^>^> 正在准备扫描注册表...
ping -t -n 5 127.0.0.1>nul & cls
set target_reg1=reg query hkcu /s /f C:\Google\
set target_reg2=reg query hkcu /s /f C:\Skypee\
set target_reg3=reg query hklm /s /f C:\Google\
set target_reg4=reg query hklm /s /f C:\Skypee\
set target_reg5=reg query hku /s /f C:\Google\
set target_reg6=reg query hku /s /f C:\Skypee\
set target_reg7=reg query hkcr /s /f C:\Google\
set target_reg8=reg query hkcr /s /f C:\Skypee\
set target_reg9=reg query hkcc /s /f C:\Google\
set target_reg10=reg query hkcc /s /f C:\Skypee\
for /l %%t in (1 1 10) do (
for /f "tokens=*" %%i in ('!target_reg%%t!') do (
set tmpi=%%i
set t2=
set flagi=1
set flaga=1
if not "%%i" == "搜索结束: 找到 0 匹配。" (
if "!tmpi:~0,5!" == "HKEY_" (set t1=%%i) else (
for %%a in (!tmpi!) do (
set tmpa=%%a
if "%%a" == "搜索结束:" set flaga=0
if !flaga! == 1 (
if "!tmpa:~0,4!" == "REG_" set flagi=0
if !flagi! == 1 set t2=!t2! %%a
))
if !flaga! == 1 (
echo 正在删除病毒注册表项【!t1!--!t2:~1!】
reg delete "!t1!" /v "!t2:~1!" /f
)))))
cls
)

echo ^>^> 杀毒完毕(1分钟后自动退出)...
ping -t -n 60 127.0.0.1>nul
exit


阅读更多
想对作者说点什么?

博主推荐

换一批

没有更多推荐了,返回首页