貌似是一个样本（目前鉴定恶意）

123456lwh

bat脚本，很可疑，会删除你的文件，代码也搞不清，混

心醉咖啡

火绒扫描miss

xmt12

源代码，谁家脚本小子

1. del c:\winnt\logo1_.exe
   
2. del c:\windows\logo1_.exe
   
3. del c:\winnt\0sy.exe
   
4. del c:\windows\0sy.exe
   
5. del c:\winnt\1sy.exe
   
6. del c:\windows\1sy.exe
   
7. del c:\winnt\2sy.exe
   
8. del c:\windows\2sy.exe
   
9. del c:\winnt\3sy.exe
   
10. del c:\windows\3sy.exe
    
11. del c:\winnt\4sy.exe
    
12. del c:\windows\4sy.exe
    
13. del c:\winnt\5sy.exe
    
14. del c:\windows\5sy.exe
    
15. del c:\winnt\6sy.exe
    
16. del c:\windows\6sy.exe
    
17. del c:\winnt\7sy.exe
    
18. del c:\windows\7sy.exe
    
19. del c:\winnt\8sy.exe
    
20. del c:\windows\8sy.exe
    
21. del c:\winnt\9sy.exe
    
22. del c:\windows\9sy.exe
    
23. del c:\winnt\rundl132.exe
    
24. del c:\windows\rundl132.exe
    
25. net share c$ /d
    
26. net share d$ /d
    
27. net share e$ /d
    
28. net share F$ /d
    
29. net share G$ /d
    
30. net share h$ /d
    
31. net share i$ /d
    
32. net share j$ /d
    
33. net share admin$ /d
    
34. net share ipc$ /d
    
35. del c:\winnt\logo1_.exe
    
36. del c:\windows\logo1_.exe
    
37. del c:\windows\vdll.dll
    
38. del c:\winnt\vdll.dll
    
39. del c:\windows\tdll.dll
    
40. del c:\winnt\tdll.dll
    
41. del c:\windows\dll.dll
    
42. del c:\winnt\dll.dll
    
43. del c:\winnt\kill.exe
    
44. del c:\windows\kill.exe
    
45. del c:\winnt\sws32.dll
    
46. del c:\windows\sws32.dll
    
47. del c:\winnt\rundl132.exe
    
48. del c:\windows\rundl132.exe
    
49. echo.
    
50. echo.
    
51. echo.
    
52. echo. *****************************
    
53. echo.
    
54. echo. 正在查毒...请不要关闭......
    
55. echo.
    
56. echo. *****************************
    
57. echo.
    
58. echo.
    
59. echo.
    
60. echo.
    
61. ping 127.0.0.1 -n 5
    
62. del c:\winnt\logo1_.exe
    
63. del c:\windows\logo1_.exe
    
64. del C:\winnt\system32\Logo1_.exe
    
65. del C:\winnt\system32\rundl132.exe
    
66. del C:\winnt\system32\bootconf.exe
    
67. del C:\winnt\system32\kill.exe
    
68. del C:\winnt\system32\sws32.dll
    
69. del C:\windows\Logo1_.exe
    
70. del C:\windows\rundl132.exe
    
71. del C:\windows\bootconf.exe
    
72. del C:\windows\kill.exe
    
73. del C:\windows\sws32.dll
    
74. del C:\windows\dll.dll
    
75. del C:\windows\vdll.dll
    
76. del c:\windows\tdll.dll
    
77. del C:\windows\system32\ShellExt\svchs0t.exe
    
78. del C:\windows\system32\Logo1_.exe
    
79. del C:\windows\system32\rundl132.exe
    
80. del C:\windows\system32\bootconf.exe
    
81. del C:\windows\system32\kill.exe
    
82. del C:\windows\system32\sws32.dll
    
83. del c:\_desktop.ini /f/s/q/a
    
84. del d:\_desktop.ini /f/s/q/a
    
85. del e:\_desktop.ini /f/s/q/a
    
86. del f:\_desktop.ini /f/s/q/a
    
87. del g:\_desktop.ini /f/s/q/a
    
88. del h:\_desktop.ini /f/s/q/a
    
89. del i:\_desktop.ini /f/s/q/a
    
90. del j:\_desktop.ini /f/s/q/a
    
91. del k:\_desktop.ini /f/s/q/a

复制代码

啊松

看起来没有多大害处。脚本小子写着玩的

kaba777

楼上已经把批处理命令贴出来了，这种应该算SchoolBoy，杀毒软件不一定会有反应

huangzihang

这段批处理代码的主要目的是尝试删除一系列可能与恶意软件相关的特定文件，并禁用一些网络共享。它看起来像是某个恶意软件清除工具的一部分，但其方法相当粗糙，并且可能存在误伤正常文件和功能的风险。

下面是对代码的详细解析：

1. 删除特定文件 (多次重复):

del c:\winnt\logo1_.exe
del c:\windows\logo1_.exe
... (重复删除 0sy.exe 到 9sy.exe，以及 rundl132.exe，在 c:\winnt 和 c:\windows 目录下)
del c:\windows\vdll.dll
del c:\winnt\vdll.dll
... (重复删除 tdll.dll 和 dll.dll，在 c:\winnt 和 c:\windows 目录下)
del c:\winnt\kill.exe
del c:\windows\kill.exe
del c:\winnt\sws32.dll
del c:\windows\sws32.dll
del c:\winnt\rundl132.exe
del c:\windows\rundl132.exe
作用:

这部分代码尝试删除一系列名为 logo1_.exe, 0sy.exe 到 9sy.exe, rundl132.exe, vdll.dll, tdll.dll, dll.dll, kill.exe, sws32.dll 的文件。这些文件名通常与恶意软件或病毒相关联。
它会在 c:\winnt 和 c:\windows 两个目录下都尝试删除这些文件。
注意: c:\winnt 目录主要用于 Windows 2000/XP 等旧版本，而 c:\windows 是现代 Windows 版本的系统目录。
风险: 如果这些文件不是恶意软件，而是正常的系统或应用程序文件，删除它们可能会导致系统不稳定或应用程序无法正常运行。
2. 禁用网络共享:

net share c$ /d
net share d$ /d
... (重复禁用 c$ 到 j$，以及 admin$ 和 ipc$ 共享)
作用:

net share 命令用于管理网络共享。
/d 参数表示删除 (禁用) 指定的共享。
这部分代码禁用了 c$ 到 j$ 驱动器的共享，以及 admin$ 和 ipc$ 这两个重要的管理共享。
目的: 禁用这些共享可以防止恶意软件通过网络传播，并防止远程访问。
风险: 禁用这些共享可能会影响网络连接和远程管理功能。
3. 再次删除特定文件 (重复):

这部分代码与第一部分类似，再次尝试删除一些文件，包括 logo1_.exe, rundl132.exe, bootconf.exe, kill.exe, sws32.dll，在 c:\winnt 和 c:\windows 目录下的不同位置，包括 system32 子目录。
还尝试删除 dll.dll, vdll.dll, tdll.dll，以及 svchs0t.exe。
作用:

这部分代码重复了之前的删除操作，并尝试删除一些可能位于 system32 子目录下的文件。
svchs0t.exe 也通常与恶意软件相关联。
目的: 确保所有可能的位置都进行了清理。
风险: 与第一部分相同，存在误伤正常文件的风险。
4. 输出提示信息:

echo. (输出空行)
echo. *****************************
echo.
echo. 正在查毒...请不要关闭......
echo.
echo. *****************************
echo.
echo.
echo.
echo.
作用:

这部分代码在控制台输出一些提示信息，模拟一个查毒过程。
提示用户不要关闭窗口。
目的: 营造一种正在进行安全扫描的假象。
5. 延迟操作:

ping 127.0.0.1 -n 5
作用:

ping 127.0.0.1 是 ping 本机回环地址。
-n 5 参数表示 ping 5 次。
目的: 产生一个短暂的延迟，给用户一种程序正在运行的感觉。
6. 再次删除特定文件 (重复):

这部分代码再次重复了之前的删除操作，删除 logo1_.exe, rundl132.exe, bootconf.exe, kill.exe, sws32.dll，以及 dll.dll, vdll.dll, tdll.dll。
作用:

进一步确保所有可能的文件都被删除。
风险: 仍然存在误伤正常文件的风险。
7. 删除 _desktop.ini 文件 (多次重复):

del c:\_desktop.ini /f/s/q/a
del d:\_desktop.ini /f/s/q/a
... (重复删除 _desktop.ini 文件，在 c: 到 k: 驱动器)
作用:

_desktop.ini 文件是 Windows 用于自定义文件夹外观的文件。
/f 参数表示强制删除只读文件。
/s 参数表示删除所有子目录中的文件。
/q 参数表示静默模式，不显示提示。
/a 参数表示删除所有文件，包括隐藏文件。
这部分代码尝试删除所有驱动器中的 _desktop.ini 文件。
目的: 可能是为了清除恶意软件可能利用的自定义文件夹设置，或者只是为了清理垃圾文件。
风险: 删除 _desktop.ini 文件可能会导致文件夹外观恢复为默认设置，但通常不会影响系统稳定性。
总结:

这段批处理代码是一个粗糙的恶意软件清除工具，其主要功能是删除一系列可能与恶意软件相关的文件，并禁用一些网络共享。它使用了非常直接的删除方法，没有进行任何验证，因此存在误伤正常文件的风险。

需要注意的关键点:

误伤风险: 这段代码可能会删除正常的系统文件或应用程序文件，导致系统不稳定或应用程序无法正常运行。
粗糙的方法: 它没有使用任何高级的恶意软件检测技术，仅仅是根据文件名进行删除，这种方法很容易被恶意软件绕过。
不建议使用: 不建议使用这段代码进行恶意软件清除，因为它存在很大的风险，并且效果有限。
专业工具: 建议使用专业的杀毒软件和反恶意软件工具进行恶意软件清除。
总而言之，这段批处理代码的意图是清除恶意软件，但其方法过于简单粗暴，存在较大的风险，不建议使用。

biue

腾讯电脑管家 miss

GDHJDSYDH

EIS扫描miss，沙盒内运行如图

LeeHS

cortex miss 但其实运行的时候已经系统已经拒绝访问了。。

123456lwh

原本以为真像@huangzihang 说的一样是一个杀毒软件，但我刚刚打开了发现它会删除你的桌面配置文件，是一个恶意文件，请大家不要打开（我刚重装系统）（也不是完全删除，但每次开机等好久才会有桌面，并且资源管理器打开了）