incaseformat蠕虫检测脚本
本帖最后由 ukuser 于 2021-1-19 09:02 编辑批处理功能:
1. 禁止ttry.exe和tsay.exe运行
2. 检测windows目录是否存在ttry.exe和tsay.exe
3. 存在则写入到服务器文本中,格式为时间+计算机名称,服务器地址和账号需要修改成自己的
@echo off
@TITLE 检测incaseformat蠕虫是否存在(ttry.exe和tsay.exe) - by ukuser
set tsay_path=C:\Windows\tsay.exe
set ttry_path=C:\Windows\ttry.exe
REM ------- 禁止蠕虫程序运行
for /f "delims=" %%a in ('wmic userAccount where "Name='%userName%'" get SID /value') do call set %%a >nul
REM SID最后有一个空格 下面for删除该空格
set str=%sid%
for /f "tokens=* delims= " %%a in ("%str%") do (
set "var=%%a"
call :ie
)
set runpath=HKEY_USERS\%var%\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun
reg add%runpath% /f /v 99/t reg_sz /d "ttry.exe"
reg add%runpath% /f /v 98 /t reg_sz /d "tsay.exe"
REM ------- 禁止蠕虫程序运行
if exist %tsay_path% goto find
if exist %ttry_path% goto find
echo 本机没有找到【incaseformat】病毒
pause&goto :eof
:find
echo 本机存在【incaseformat】病毒,请联系管理员处理
REM 设置用户名和密码
net use \\192.168.23.50\temp "123" /USER:add>nul
REM 记录到文件 , 更改服务器地址
echo %date:~0,4%年%date:~5,2%月%date:~8,2%日%time:~0,8%----%COMPUTERNAME% >>\\192.168.23.50\temp\list.txt
pause
:ie
if "%var:~-1%"==" " (set "var=%var:~0,-1%"&goto ie)
本帖最后由 azusys 于 2021-1-23 08:35 编辑
我觉得可以改一下不管中不中毒都要加记录到服务器毕竟作为一个单位不是所有人都会打开使用的
把记录指令改一下就好了··
顺便问一下这个语句是什么意思
reg add%runpath% /f /v 99/t reg_sz /d
额 明白了刚刚没看上一句~~~ azusys 发表于 2021-1-23 08:30
我觉得可以改一下不管中不中毒都要加记录到服务器毕竟作为一个单位不是所有人都会打开使用的
把记录指令改 ...
用域或者其他工具批量下发 然后看执行结果 病毒样本能提供一下么 还以为lz把病毒的代码反编译出来了,点进来一看是专杀脚本{:301_1004:} 这个病毒有年头了 好东西学习了 不会用啊,直接vbs没法运行 谢谢分享啊 楼主有bat脚本吗,写好的。我的邮箱1187353609@qq.com 谢谢分享,在学习ing` 感谢分享
页:
[1]
2