MENU

安全|用批处理简单解决Skypee(AutoIt3) U盘病毒

2019 年 04 月 19 日 • 阅读: 9231 • 技法笔记

前段时间因为把U盘插在了学校机房的电脑上,导致自己的U盘中了病毒,开始只是注意到U盘好像总是会新建一些文件,然后是杀毒软件报毒,但当时也并没有太过在意,过了一段感觉U盘出现各种问题,例如某些文件无法删除等,便开始对病毒进行查杀工作。

病毒分析

因为博主这是个小菜鸟,也不会像大佬那样用一些专业的工具去进行分析(为了更好地观察,我从机房里将病毒Skypee文件夹压缩并拷到了U盘里便于回家观察),这里就表达一下我对这个病毒大概工作原理的个人见解(也许有不对的地方)

文件夹病毒

首先当有U盘连接上电脑后,病毒会将你U盘的文件夹全部隐藏起来,然后生成长相跟文件夹几乎一模一样的EXE可执行文件(如果用户没有把“文件夹选项”的“隐藏已知文件的扩展名”取消勾选,那就更逼真了),用户在浏览U盘内容时很容易就被病毒欺骗,点开了被病毒伪装的程序

快捷方式病毒

另外U盘里还不断出现诸如DownloadsMy PictuersMy Videos等这样的快捷方式,看起来让人以为是系统创建的一些文件夹之类的,但当查看其指向目标时便会发现这也是病毒所创建的快捷方式

C:\Windows\system32\cmd.exe /c start Skypee\AutoIt3.exe  /AutoIt3ExecuteScript  Skypee\googleupdate.a3x explorer "%CD%" & exit

通过查询相关资料,了解到这里的AutoIt3.exe是一个类似BASIC脚本语言的软件,可利用模拟键鼠操作来实现自动化任务,并且可以运行Windows和Dos程序以及对注册表进行操作等功能,而这里的googleupdate.a3x应该便是其脚本文件了,用户每点击一次这些快捷方式都会触发病毒

清除病毒

第一步需要在任务管理器中找到进程AutoIt3.exe并结束该进程

删除病毒开机启动项

用 Win+R 打开运行,输入msconfig打开系统配置窗口->启动找到叫AutoIt v3 Script的启动项,取消勾选后确定

删除病毒相关文件

删除的过程过于繁琐,要是用批处理来处理就更方便了

可是自己对DOS以及批处理的一些命令又不怎么了解,所以花了一下午时间通过各种百度完成了如下代码

@echo off&title AutoIt3病毒专杀 by:Silent.离梦
mode con cols=60 lines=28
color 2f
:welcome
cls
echo AutoIt3病毒专杀工具 
echo ==============================
echo.
echo @author  :Silent.离梦
echo.
echo @time    :2019-4-20
echo.
echo @article :https://ilimeng.cn/1203.html
echo.
echo ==============================
echo.
set /p pf=请输入要清除病毒的盘符(例:C):
%pf%:
title %pf%盘 by:Silent.离梦
:menu
cls
echo.
echo 请输入编号执行相应的操作:
echo ==============================
echo.
echo 1,中止病毒进程
echo.
echo 2,删除病毒启动项
echo.
echo 3,清除指定磁盘下毒源
echo.
echo 4,清除指定磁盘下的病毒快捷方式
echo.
echo 5,清除文件夹病毒
echo.
echo 6,更换盘符
echo.
echo 7,U盘免疫
echo.
echo 8,U盘修复
echo.
echo Q,退出
echo.
echo ==============================
echo.
set /p user_input=请输入数字:
if %user_input% equ 1 goto :taskKill
if %user_input% equ 2 goto :start
if %user_input% equ 3 goto :deldir
if %user_input% equ 4 goto :kjfs
if %user_input% equ 5 goto :wjj
if %user_input% equ 6 goto :welcome
if %user_input% equ 7 goto :upanmy
if %user_input% equ 8 goto :repair
if %user_input%==q exit
goto :menu

:deldir
cls
echo -----正在%pf%盘下清除毒源-----
if exist Google (
attrib -a -s -h -r Google
del /f /s /q Google
rd Google
echo 目标目录已删除
) else echo 未发现目标文件
if exist Skypee (
attrib -a -s -h -r Skypee
del /f /s /q Skypee
rd Skypee
echo 目标目录已删除
) else echo 未发现目标文件
echo -----------完成------------
echo 按任意键返回菜单...
pause>nul
goto :menu


:kjfs
cls
echo 1,仅删除二级目录下的同名快捷方式
echo.
echo 2,删除根目录及二级目录下的快捷方式
echo.
set /p fs=请选择删除方式:
if %fs%==1 (
cls
echo 正在为您删除二级目录下的同名快捷方式...
for /f "tokens=*" %%i in ('dir /ad /b \*') do del /f /s /q  "\%%i\%%i.lnk"
)
if %fs%==2 (
cls
echo 正在为您删除根目录及二级目录下的快捷方式...
for /f "tokens=*" %%i in ('dir /ad /b *') do del /f /s /q  "%%i\%%i.lnk"
del /f /q  "*.lnk"
)
echo 按任意键返回菜单...
pause>nul
goto :menu

:wjj
cls
echo -----正在恢复被病毒隐藏的文件夹------
for /f "tokens=*" %%a in ('dir /ad /b') do attrib -a -s -h -r "%%a"&del /f /q  "%%a.exe"
echo.
echo -----已恢复被病毒隐藏的文件夹------
echo.
echo 按任意键返回菜单...
pause>nul
goto :menu

:start
cls
echo -----正在删除病毒启动项------
REG DELETE HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /v AntiUsbWorm /f
REG DELETE HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /v AntiWormUpdate /f
echo.
echo -----已删除病毒启动项------
echo.
echo 按任意键返回菜单...
pause>nul
goto :menu

:taskKill
cls
echo -----正在中止病毒进程------
taskkill /im AutoIt3.exe /t /f
echo.
echo ----已强制结束病毒进程-----
echo.
echo 按任意键返回菜单...
pause>nul
goto :menu


:upanmy
cls
set /p upan=请选择U盘盘符(例:G):
%upan%:
if exist autorun.inf (
attrib -a -s -h -r autorun.inf
del /f /q  "autorun.inf"
)
md autorun.inf
md autorun.inf\U盘免疫...\
attrib autorun.inf +h +r
%pf%:
echo 已对所选盘符进行免疫!
echo.
echo 按任意键返回菜单...
pause>nul
goto :menu

:repair
cls
chkdsk %pf%: /F
echo 已修复!
echo.
echo 按任意键返回菜单...
pause>nul
goto :menu

通过这个批处理对各盘病毒进行查杀后,发现U盘里还有一个名为System Volume Information的系统卷标信息文件夹,不知道跟病毒有没有关系,但保险起见还是删掉吧

删除System Volume Information文件夹

System Volume Information 是 windows 操作系统的系统文件夹,默认为隐藏属性,不可见,中文名称可以翻译为“系统卷标信息”。因为是系统目录,所以这里通过文件粉碎机进行删除,为了防止再次生成该目录,可以新建一个空的文本文档,命名为System Volume Information(没有扩展名)然后将其属性设置为“只读”和“隐藏”,这样系统因为同一目录下不能出现同名文件,这样系统下次就无法创建了

通过以上这些操作,病毒就基本清除了

最后编辑于: 2023 年 11 月 28 日
添加新评论

已有 11 条评论
  1. 自从使用了Windows 10已经很久没有见过病毒了。

    1. @范明明主要是学校机房现在用的是win7而且也没有装什么电子教室之类的软件,电脑经常出各种问题,或者被学生私自上密码

  2. 学校机房有毒!

    1. @nice对,一个电脑有毒,一个U盘用来用去就越来越多中毒的

  3. 好多年没遇到杀不掉的毒了。

    1. @repostone是毒一般应该都能杀掉吧,只是难易问题

  4. 谢谢提醒!

  5. 最怕中毒

  6. 感谢分享

  7. YIR YIR

    好久没碰到病毒了。

  8. koko koko

    在学校打印店老是中招,每次都是用ubuntu系统来删除。不太懂这个病毒最终目的是要干啥?