用360发现的开机自运行程序。。。文件为bat

asd214136

今天用360扫一下发现一个开机运行的bat，bat的目录下还发现一个ini文件 。
不知运行了多久了，小a无提示
特请各位高手解析一下。

宫村宫子

上报卡巴斯基。

mafei1

http://www.virustotal.com/file-s ... fe2c697c-1281884059

猪头大队

mafei1 发表于 2010.8.15 22:55

竟然只有一家报毒，不是正常的白文件，就是一牛叉的病毒

白羊座

回复 4楼 猪头大队  的帖子


    牛叉的很，用bat逐字构建一个PE，反正360白名单查启动项，怎么变它都没辙

猪头大队

回复


    牛叉的很，用bat逐字构建一个PE，反正360白名单查启动项，怎么变它都没辙
白羊座 发表于 2010.8.15 23:00

谢谢解惑

IllusionWing

UGuard 7 扫描日志
扫描在 0 秒 内结束，扫描对象共计 1 个。


H:\Temp\tv99\可疑bat.rar>>Server.bat -> Behav.ShutdownPC

共计 1 个威胁，日志结束。

zdlzp

del be.tmp

Rem 可能带来威胁:这个脚本可能会删除文件。
del eb.tmp

Rem 可能带来威胁:这个脚本可能会删除文件。
del tmp.vbs

Rem 可能带来威胁:这个脚本可能会删除文件。
del ge.tmp

Rem 可能带来威胁:这个脚本可能会删除文件。
del ge.tmp

Rem 可能带来威胁:这个脚本可能会删除文件。
del ge.tmp

Rem 可能带来威胁:这个脚本可能会删除文件。
del c:\name_tmpp.txt

Rem 可能带来威胁:这个脚本可能会删除文件。
del ge.tmp

Rem 可能带来威胁:这个脚本可能会删除文件。
del c:\name_info.txt

Rem 可能带来威胁:这个脚本可能会删除文件。
del c:\windows\*.bmp

Rem 可能带来威胁:这个脚本可能会删除文件。
echo del hs.bmp>>ge.tmp

Rem 可能带来威胁:这个脚本可能会删除文件。
del ge.tmp

Rem 可能带来威胁:这个脚本可能会删除文件。
del ge.tmp&&del c:\hs.bmp

Rem 可能带来威胁:这个脚本可能会删除文件。
del ge.tmp

Rem 可能带来威胁:这个脚本可能会删除文件。
del c:\task_name.txt

Rem 可能带来威胁:这个脚本可能会删除文件。
del tmp*

Rem 可能带来威胁:这个脚本可能会关闭计算机。
shutdown -s -t 1

Rem 可能带来威胁:这个脚本可能会关闭计算机。
shutdown -r -t 1

Rem 可能带来威胁:这个脚本可能会移除文件夹。
reg add hkey_local_machine\software\batnet /t reg_sz /v password /d "m3:~4" /f

Rem 普通操作:这个脚本可能会弹出对话框。
echo msgbox "tmpsay">tmp.vbs

Rem 可能带来威胁:这个脚本可能会结束进程。
taskkill /f /im ml:~2

Rem 可能带来威胁:这个脚本可能会结束进程。
taskkill /f /im ml:~2

Rem 可能带来威胁:这个脚本可能会结束进程。
taskkill /f /im ml:~2

Rem 可能带来威胁:这个脚本可能会对注册表进行操作。
reg add hkey_local_machine\software\batnet /t reg_sz /v server /d "m1:~4" /f

Rem 可能带来威胁:这个脚本可能会对注册表进行操作。
reg add hkey_local_machine\software\batnet /t reg_sz /v user /d "m2:~5" /f

Rem 可能带来威胁:这个脚本可能会对注册表进行操作。
reg add hkey_local_machine\software\batnet /t reg_sz /v password /d "m3:~4" /f

Rem 可能带来威胁:这个脚本可能会对注册表进行操作。
for /f "skip=3 tokens=3,4 delims=    " a in ('reg query zcb /v server') do set str1=ab

Rem 可能带来威胁:这个脚本可能会对注册表进行操作。
for /f "skip=3 tokens=3,4 delims=    " a in ('reg query zcb /v user') do set str2=ab

Rem 可能带来威胁:这个脚本可能会对注册表进行操作。
for /f "skip=3 tokens=3,4 delims=    " a in ('reg query zcb /v password') do set str3=ab

Rem 可能带来威胁:这个脚本可能会对注册表进行操作。
reg add hkey_local_machine\software\microsoft\windows\currentversion\run /v winnet.dll /t reg_sz /d c:\windows\winnet.exe /f

Rem 可能带来威胁:这个脚本可能会对注册表进行操作。
reg add hkey_local_machine\software\microsoft\windows\currentversion\run /v winnet.dll /t reg_sz /d c:\windows\winnet.exe /f

Rem 可能会带来威胁:这个脚本可能会加/减文件的属性。
   attrib +r +s +h "sysurl"

Rem 严重警告:这个脚本可能会将文件加入开机启动项!
reg add hkey_local_machine\software\microsoft\windows\currentversion\run /v winnet.dll /t reg_sz /d c:\windows\winnet.exe /f

Rem 严重警告:这个脚本可能会将文件加入开机启动项!
reg add hkey_local_machine\software\microsoft\windows\currentversion\run /v winnet.dll /t reg_sz /d c:\windows\winnet.exe /f

宫村宫子

UGuard 7 扫描日志
扫描在 0 秒 内结束，扫描对象共计 1 个。


H:\Temp\tv99\可疑bat.rar>>Server.bat ...
IllusionWing 发表于 2010.8.15 23:03

你这个是什么杀毒软件？好像没见过呢...

蝉鸣时

To ESET.

Thank you for your submission.
The file(s) you submitted is/are clean and therefore not subject to detection.

Regards,

Lubos Vrtik
Senior Virus Researcher
ESET spol. s r.o.