首先 替换的是系统文件userinit.exe 然后由这个文件开始连接网站下载各种病毒木马,这时你的系统进城里出现swchost和其他莫名的咚咚,当然,如果你的运气好的话,你会看见IGM.EXE,恭喜你,中奖了!!~~~
经过我同事和一个朋友的研究 做了很多尝试 现公布一下
@echo off
echo 说明:
echo 1,小步舞曲原创 openbsd@openbsd.org.cn
echo 2,如果系统已经中毒,执行完以后应该以最快速度重启机器,最好是直接按restart...
copy "%windir%\system32\cisvc.exe" "c:\windows\img.exe" /y
copy "%windir%\system32\cisvc.exe" "c:\windows\IGW.exe" /y
copy "%windir%\system32\cisvc.exe" "c:\windows\AVPSrv.exe" /y
copy "%windir%\system32\cisvc.exe" "c:\windows\DiskMan32.exe" /y
copy "%windir%\system32\cisvc.exe" "c:\windows\Kvsc3.exe" /y
copy "%windir%\system32\cisvc.exe" "c:\windows\lqvytv.exe" /y
copy "%windir%\system32\cisvc.exe" "c:\windows\MsIMMs32.exe" /y
copy "%windir%\system32\cisvc.exe" "c:\windows\upxdnd.exe" /y
copy "%windir%\system32\cisvc.exe" "c:\windows\WinForm.exe" /y
copy "%windir%\system32\cisvc.exe" "C:\WINDOWS\swchost.exe" /y
copy "%windir%\system32\cisvc.exe" "c:\windows\system32\3CEBCAF.EXE" /y
copy "%windir%\system32\cisvc.exe" "c:\windows\system32\drivers\svchost.exe" /y
copy "%windir%\system32\cisvc.exe" "c:\windows\system32\a.exe" /y
copy "%windir%\system32\cisvc.exe" "c:\WINDOWS\dbghlp32.exe" /y
copy "%windir%\system32\cisvc.exe" "c:\WINDOWS\nvdispdrv.exe" /y
copy "%windir%\system32\cisvc.exe" "c:\WINDOWS\system32\racvsvc.exe" /y
copy "%windir%\system32\cisvc.exe" "C:\WINDOWS\system32\serdst.exe" /y
copy "%windir%\system32\cisvc.exe" "c:\windows\system32\rsjzbpm.dll" /y
copy "%windir%\system32\cisvc.exe" "c:\WINDOWS\system32\rsjzbpm.dll" /y
copy "%windir%\system32\cisvc.exe" "c:\WINDOWS\system32\cmdbcs.dll" /y
copy "%windir%\system32\cisvc.exe" "c:\WINDOWS\system32\dbghlp32.dll" /y
copy "%windir%\system32\cisvc.exe" "c:\WINDOWS\system32\upxdnd.dll" /y
copy "%windir%\system32\cisvc.exe" "c:\WINDOWS\system32\yfmtdiouaf.dll" /y
copy "%windir%\system32\cisvc.exe" "C:\WINDOWS\49400MM.DLL" /y
copy "%windir%\system32\cisvc.exe" "C:\WINDOWS\338448WO.DLL" /y
copy "%windir%\system32\cisvc.exe" "C:\windows\235780mm.dll" /y
copy "%windir%\system32\cisvc.exe" "c:\windows\235780WO.dll" /y
xcacls "c:\windows\img.exe" /c /y /d everyone
xcacls "c:\windows\IGW.exe" /c /y /d everyone
xcacls "c:\windows\AVPSrv.exe" /c /y /d everyone
xcacls "c:\windows\DiskMan32.exe" /c /y /d everyone
xcacls "c:\windows\Kvsc3.exe" /c /y /d everyone
xcacls "c:\windows\lqvytv.exe" /c /y /d everyone
xcacls "c:\windows\MsIMMs32.exe" /c /y /d everyone
xcacls "c:\windows\upxdnd.exe" /c /y /d everyone
xcacls "c:\windows\WinForm.exe" /c /y /d everyone
xcacls "C:\WINDOWS\swchost.exe" /c /y /d everyone
xcacls "c:\windows\system32\3CEBCAF.EXE" /c /y /d everyone
xcacls "c:\windows\system32\drivers\svchost.exe" /c /y /d everyone
xcacls "c:\windows\system32\a.exe" /c /y /d everyone
xcacls "c:\WINDOWS\dbghlp32.exe" /c /y /d everyone
xcacls "c:\WINDOWS\nvdispdrv.exe" /c /y /d everyone
xcacls "c:\WINDOWS\system32\racvsvc.exe" /c /y /d everyone
xcacls "C:\WINDOWS\system32\serdst.exe" /c /y /d everyone
xcacls "c:\windows\system32\rsjzbpm.dll" /c /y /d everyone
xcacls "c:\WINDOWS\system32\rsjzbpm.dll" /c /y /d everyone
xcacls "c:\WINDOWS\system32\cmdbcs.dll" /c /y /d everyone
xcacls "c:\WINDOWS\system32\dbghlp32.dll" /c /y /d everyone
xcacls "c:\WINDOWS\system32\upxdnd.dll" /c /y /d everyone
xcacls "c:\WINDOWS\system32\yfmtdiouaf.dll" /c /y /d everyone
xcacls "C:\WINDOWS\49400MM.DLL" /c /y /d everyone
xcacls "C:\WINDOWS\338448WO.DLL" /c /y /d everyone
xcacls "C:\windows\235780mm.dll" /c /y /d everyone
xcacls "c:\windows\235780WO.dll" /c /y /d everyone
echo 现在需要重新启动计算机,请保存没有完成的工作,并关闭其他程序,然后按任意键重新启动...
pause
(xcacls.exe需要安装到system32)
以上批处理经过测试 在安全系统上很短的时间内曾经有效 不过不能完全预防 后来又测试了三联补丁 可是无奈病毒又出现变种 又已经无效 最后 截至到07年10月29晚8点 经测试三名公司的补丁在很长时间内解决了穿透还原的问题,不过同时我的同事又发现变种样本 继续测试中……
希望大家 共同研究 早日搞定病毒 谢谢
