【讨论】DelCy.bat到底是什么东西？

lastwinner

最近发现，机器中老莫名其妙的会出现一个名为 DelCy.bat的批处理文件，每次都是出现没一秒钟就没了\r\n今天可算逮着一次机会，查看到了其源代码\r\n

\r\n:try\r\ndel /f /s /q \"%userprofile%\\Local Settings\\Temp\\csrss.exe\"\r\ndel /f /s /q \"%userprofile%\\Local Settings\\Temp\\svchost32.exe\"\r\ndel /f /s /q \"%userprofile%\\Local Settings\\Temp\\smss.exe\"\r\ndel /f /s /q \"%userprofile%\\Local Settings\\Temp\\services.exe\"\r\ndel /f /s /q \"%userprofile%\\Local Settings\\Temp\\svchost.exe\"\r\ndel /f /s /q \"%userprofile%\\Local Settings\\Temp\\conime.exe\"\r\ndel /f /s /q \"%userprofile%\\Local Settings\\Temp\\tempbak.exe\"\r\ndel /f /s /q %windir%\\*.tmp\r\ndel %0\r\n

\r\n\r\n这最后一句 del %0 就是删除自身的语句，所以会出现DelCy.bat 一闪而过的现象\r\n\r\n从整个批处理来看，其目的是删除用户临时目录中的可疑文件（这些用户临时目录中的文件，按经验来看其实都是病毒或者木马了）以及系统目录中的临时文件，很像是某种防病毒／木马软件产生的批处理程序，但也不排除是某种病毒／木马产生的杀死其他病毒／木马的批处理程序。\r\n\r\n目前暂未发现机器中有可疑进程\r\n机器上安装有 Symantec AntiVirus Client、 AVG AntiSpyware（就是以前的Ewido）和 UnLocker，这几个防病毒／木马的程序已经装了有一段时间了（AVG是昨天刚换的，以前都用Ewido，也没见出现过DelCy.bat）。\r\n\r\n在网络上也搜索了DelCy.bat相关的网页，结果没发现一个满意的答复。于是特地在此提出，请大家诊断一下，找出这个批处理是怎么产生的？\r\n\r\n目前偶能断定的是，这个文件不会对系统产生负面影响。

ferricoxide

我的任务管理器中出现了好几个IEXPLORE.EXE 而且很耗内存\r\n我该怎么办？望大侠指点

stonexhtu

不錯，太好了\r\n----我說你的徽章\r\n

lastwinner

最初由 ferricoxide 发布\r\n[B]我的任务管理器中出现了好几个IEXPLORE.EXE 而且很耗内存\r\n我该怎么办？望大侠指点 [/B]

\r\n\r\n是大写字母还是小写字母？\r\n如果是含有大写字母，那说明启动的不是正常的IE进程，是病毒／木马的可能性很大\r\n\r\n使用命令 tasklist /v /FI \"imagename eq iexplore.exe\"\r\n或在任务管理器中\r\n看看，这些多余的IE进程，是不是由 SYSTEM 用户启动的？\r\n如果是，暂时不必当心，目前尚未看出是病毒的迹象\r\n\r\n想要禁止出现过多的IE进程\r\n这里有一个方法，但要求你的IE所在盘是NTFS格式的\r\n1、找到iexplore.exe\r\n2、点右键看属性，切换到安全选项卡\r\n3、点高级，取消“允许父项的继承权限传播到该对象和所有子对象。包括那些在此明确定义的项目(&A)。”，并在弹出的对话框上选择“复制”\r\n4、编辑SYSTEM用户的权限，取消SYSTEM对iexplore.exe的运行权限\r\n5、接连点两个确定即可。\r\n\r\n对于目前已经有的这些进程，可在任务管理器中强行结束

ferricoxide

IEXPLORE.EXE是大写的  而且是由 SYSTEM 用户启动\r\n删掉后又会出来的 \r\n但我并没有装 AVG AntiSpyware\r\n我电脑上TEMP文件里还经常会出先win*.exe 文件  “*”是随机生成的\r\n桌面上老是回弹出“ c:\\windows\\temp\\win2.exe\r\nNTVDM CPU 遇到无效的指令。\r\nCS：0dbb  IP:042e OP:63 6f 6f 6f 72”类似对话框\r\n该怎么办？

wangyuweng

看上去感觉是安装了什么优化软件产生的批处理文件

lastwinner

最初由 ferricoxide 发布\r\n[B]IEXPLORE.EXE是大写的  而且是由 SYSTEM 用户启动\r\n删掉后又会出来的 \r\n但我并没有装 AVG AntiSpyware\r\n我电脑上TEMP文件里还经常会出先win*.exe 文件  “*”是随机生成的\r\n桌面上老是回弹出“ c:\\windows\\temp\\win2.exe\r\nNTVDM CPU 遇到无效的指令。\r\nCS：0dbb  IP:042e OP:63 6f 6f 6f 72”类似对话框\r\n该怎么办？ [/B]

\r\n\r\n这些肯定是恶意文件了\r\n从进程中终止，并赶紧删除掉这些文件吧

lastwinner

最初由 wangyuweng 发布\r\n[B]看上去感觉是安装了什么优化软件产生的批处理文件 [/B]

\r\n\r\n嗯，就是这样的，你看7楼\r\n\r\n另：恭喜抓到了蓝色大象:rose:

lastwinner

hoho，不错\r\n现在搜索 delcy.bat\r\n\r\n能找到这里来了 \r\n而且别的地方都没有准确答案，只有这里的才是正确答案

wangyuweng

最初由 lastwinner 发布\r\n[B]\r\n\r\n嗯，就是这样的，你看7楼\r\n\r\n另：恭喜抓到了蓝色大象:rose: [/B]

\r\n\r\n:sweat2: :sweat2: 一不小心::