免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
12下一页
最近访问板块 发新帖
查看: 18569 | 回复: 17

【讨论】DelCy.bat到底是什么东西? [复制链接]

论坛徽章:
0
发表于 2007-01-03 18:45 |显示全部楼层
最近发现,机器中老莫名其妙的会出现一个名为 DelCy.bat的批处理文件,每次都是出现没一秒钟就没了\r\n今天可算逮着一次机会,查看到了其源代码\r\n
\r\n:try\r\ndel /f /s /q \"%userprofile%\\Local Settings\\Temp\\csrss.exe\"\r\ndel /f /s /q \"%userprofile%\\Local Settings\\Temp\\svchost32.exe\"\r\ndel /f /s /q \"%userprofile%\\Local Settings\\Temp\\smss.exe\"\r\ndel /f /s /q \"%userprofile%\\Local Settings\\Temp\\services.exe\"\r\ndel /f /s /q \"%userprofile%\\Local Settings\\Temp\\svchost.exe\"\r\ndel /f /s /q \"%userprofile%\\Local Settings\\Temp\\conime.exe\"\r\ndel /f /s /q \"%userprofile%\\Local Settings\\Temp\\tempbak.exe\"\r\ndel /f /s /q %windir%\\*.tmp\r\ndel %0\r\n
\r\n\r\n这最后一句 del %0 就是删除自身的语句,所以会出现DelCy.bat 一闪而过的现象\r\n\r\n从整个批处理来看,其目的是删除用户临时目录中的可疑文件(这些用户临时目录中的文件,按经验来看其实都是病毒或者木马了)以及系统目录中的临时文件,很像是某种防病毒/木马软件产生的批处理程序,但也不排除是某种病毒/木马产生的杀死其他病毒/木马的批处理程序。\r\n\r\n目前暂未发现机器中有可疑进程\r\n机器上安装有 Symantec AntiVirus Client、 AVG AntiSpyware(就是以前的Ewido)和 UnLocker,这几个防病毒/木马的程序已经装了有一段时间了(AVG是昨天刚换的,以前都用Ewido,也没见出现过DelCy.bat)。\r\n\r\n在网络上也搜索了DelCy.bat相关的网页,结果没发现一个满意的答复。于是特地在此提出,请大家诊断一下,找出这个批处理是怎么产生的?\r\n\r\n目前偶能断定的是,这个文件不会对系统产生负面影响。

论坛徽章:
0
发表于 2007-01-04 11:26 |显示全部楼层
我的任务管理器中出现了好几个IEXPLORE.EXE 而且很耗内存\r\n我该怎么办?望大侠指点

论坛徽章:
0
发表于 2007-01-04 12:41 |显示全部楼层
不錯,太好了\r\n----我說你的徽章\r\n

论坛徽章:
0
发表于 2007-01-04 15:21 |显示全部楼层
最初由 ferricoxide 发布\r\n[B]我的任务管理器中出现了好几个IEXPLORE.EXE 而且很耗内存\r\n我该怎么办?望大侠指点 [/B]
\r\n\r\n是大写字母还是小写字母?\r\n如果是含有大写字母,那说明启动的不是正常的IE进程,是病毒/木马的可能性很大\r\n\r\n使用命令 tasklist /v /FI \"imagename eq iexplore.exe\"\r\n或在任务管理器中\r\n看看,这些多余的IE进程,是不是由 SYSTEM 用户启动的?\r\n如果是,暂时不必当心,目前尚未看出是病毒的迹象\r\n\r\n想要禁止出现过多的IE进程\r\n这里有一个方法,但要求你的IE所在盘是NTFS格式的\r\n1、找到iexplore.exe\r\n2、点右键看属性,切换到安全选项卡\r\n3、点高级,取消“允许父项的继承权限传播到该对象和所有子对象。包括那些在此明确定义的项目(&A)。”,并在弹出的对话框上选择“复制”\r\n4、编辑SYSTEM用户的权限,取消SYSTEM对iexplore.exe的运行权限\r\n5、接连点两个确定即可。\r\n\r\n对于目前已经有的这些进程,可在任务管理器中强行结束

论坛徽章:
0
发表于 2007-01-06 19:52 |显示全部楼层
IEXPLORE.EXE是大写的  而且是由 SYSTEM 用户启动\r\n删掉后又会出来的 \r\n但我并没有装 AVG AntiSpyware\r\n我电脑上TEMP文件里还经常会出先win*.exe 文件  “*”是随机生成的\r\n桌面上老是回弹出“ c:\\windows\\temp\\win2.exe\r\nNTVDM CPU 遇到无效的指令。\r\nCS:0dbb  IP:042e OP:63 6f 6f 6f 72”类似对话框\r\n该怎么办?

论坛徽章:
0
发表于 2007-01-06 21:15 |显示全部楼层
看上去感觉是安装了什么优化软件产生的批处理文件

论坛徽章:
0
发表于 2007-01-07 16:17 |显示全部楼层
最初由 ferricoxide 发布\r\n[B]IEXPLORE.EXE是大写的  而且是由 SYSTEM 用户启动\r\n删掉后又会出来的 \r\n但我并没有装 AVG AntiSpyware\r\n我电脑上TEMP文件里还经常会出先win*.exe 文件  “*”是随机生成的\r\n桌面上老是回弹出“ c:\\windows\\temp\\win2.exe\r\nNTVDM CPU 遇到无效的指令。\r\nCS:0dbb  IP:042e OP:63 6f 6f 6f 72”类似对话框\r\n该怎么办? [/B]
\r\n\r\n这些肯定是恶意文件了\r\n从进程中终止,并赶紧删除掉这些文件吧

论坛徽章:
0
发表于 2007-01-07 16:18 |显示全部楼层
最初由 wangyuweng 发布\r\n[B]看上去感觉是安装了什么优化软件产生的批处理文件 [/B]
\r\n\r\n嗯,就是这样的,你看7楼\r\n\r\n另:恭喜抓到了蓝色大象:rose:

论坛徽章:
0
发表于 2007-01-07 16:20 |显示全部楼层
hoho,不错\r\n现在搜索 delcy.bat\r\n\r\n能找到这里来了 \r\n而且别的地方都没有准确答案,只有这里的才是正确答案

论坛徽章:
0
发表于 2007-01-07 16:24 |显示全部楼层
最初由 lastwinner 发布\r\n[B]\r\n\r\n嗯,就是这样的,你看7楼\r\n\r\n另:恭喜抓到了蓝色大象:rose: [/B]
\r\n\r\n:sweat2: :sweat2: 一不小心::
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP