//随手记录,方便自己以后查阅,同时写在CSDN,博客园,知乎,简书
学校电脑又碰到一种木马病毒,Driver.bat,某度和某歌都查了,也叫1kB病毒,屁话太多,没有实质性解决问题,还是自己来。
先研究病毒具体行为:
S1 根目录生成一个Drive.bat的Windows批处理文件,内容就是启动S2中的一个脚本文件;
S2 生成Drive文件夹,里面有一个文件夹叫597,里面存放着一个JScript脚本文件(不是网页的那个JavaScript,别搞混淆了),代码太多,看不懂,没仔细研究;
S3 U盘根目录下所有的文件和文件夹都变成快捷方式,原来的都转移到Drive文件夹里,相对位置和名称都没变化。
虽然病毒没有较大的威胁,但每次插上U盘都要仔细地去找文件,并且用完还要去别的电脑(尽量在Liunx上,因为这个病毒只对Windows有效)把U盘里的木马清理干净,恢复文件和文件夹的位置,比较麻烦。(题外话:我很想锤死这个木马制作者)
找到本体,在当前用户应用数据文件夹内的一串小写字母文件夹中,放图
这个木马本体就在
C:\Users\当前用户名\AppData\Roaming\scfkrdh
虽然我是用火绒查出来的233333。嗯,直接暴力删除肯定删不动,系统会报错有应用程序正在使用请重试。那就老规矩,进万能的PE删,好了,问题解决。然后写下这个小文章,记录一下,方便自己以后再遇到类似问题,有参考。