incaseformat蠕虫检测脚本

ukuser

批处理功能：
1. 禁止ttry.exe和tsay.exe运行
2. 检测windows目录是否存在ttry.exe和tsay.exe
3. 存在则写入到服务器文本中，格式为时间+计算机名称，服务器地址和账号需要修改成自己的

[Bash shell] 纯文本查看 复制代码

@echo off
@TITLE 检测incaseformat蠕虫是否存在（ttry.exe和tsay.exe） - by ukuser

set tsay_path=C:\Windows\tsay.exe
set ttry_path=C:\Windows\ttry.exe


REM ------- 禁止蠕虫程序运行
 
for /f "delims=" %%a in ('wmic userAccount where "Name='%userName%'" get SID /value') do call set %%a >nul


REM SID最后有一个空格 下面for删除该空格
set str=%sid%
for /f "tokens=* delims= " %%a in ("%str%") do (
        set "var=%%a"
        call :ie
    )


set runpath=HKEY_USERS\%var%\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun

reg add  %runpath% /f /v 99  /t reg_sz /d "ttry.exe"
reg add  %runpath% /f /v 98   /t reg_sz /d "tsay.exe"


REM ------- 禁止蠕虫程序运行 




if exist %tsay_path% goto find
if exist %ttry_path% goto find

echo 本机没有找到【incaseformat】病毒 

pause&goto :eof


:find
echo 本机存在【incaseformat】病毒，请联系管理员处理


REM 设置用户名和密码
net use \\192.168.23.50\temp "123" /USER:add  >nul

REM 记录到文件 , 更改服务器地址
echo %date:~0,4%年%date:~5,2%月%date:~8,2%日%time:~0,8%----%COMPUTERNAME% >>\\192.168.23.50\temp\list.txt

pause
:ie
if "%var:~-1%"==" " (set "var=%var:~0,-1%"&goto ie) 

azusys

我觉得可以改一下不管中不中毒都要加记录到服务器毕竟作为一个单位不是所有人都会打开使用的
把记录指令改一下就好了··

顺便问一下这个语句是什么意思
reg add  %runpath% /f /v 99  /t reg_sz /d
额 明白了刚刚没看上一句~~~

ukuser

azusys 发表于 2021-1-23 08:30
我觉得可以改一下不管中不中毒都要加记录到服务器毕竟作为一个单位不是所有人都会打开使用的
把记录指令改 ...

用域或者其他工具批量下发 然后看执行结果

马克

病毒样本能提供一下么

WoShiXXX

还以为lz把病毒的代码反编译出来了，点进来一看是专杀脚本

yjy130

这个病毒有年头了

用温柔将我杀死

好东西学习了

keyyan

不会用啊，直接vbs没法运行

xuxinbo

谢谢分享啊

别友尽i

楼主有bat脚本吗，写好的。我的邮箱1187353609@qq.com

huangfangding12

谢谢分享，在学习ing`

MOEYU_VANILLA

感谢分享