[新手上路]批处理新手入门导读[视频教程]批处理基础视频教程[视频教程]VBS基础视频教程[批处理精品]批处理版照片整理器
[批处理精品]纯批处理备份&还原驱动[批处理精品]CMD命令50条不能说的秘密[在线下载]第三方命令行工具[在线帮助]VBScript / JScript 在线参考
返回列表 发帖
namejm

Rank: 8Rank: 8

帖子
1348 
积分
5183 
技术
142  
捐助
501  
注册时间
2007-10-25 
1 跳转到 » 倒序看帖
打印
tT
发表于 2009-4-13 00:08 | 只看该作者

[安全相关] SOLA病毒染毒文件批处理修复工具V1.0

  SOLA病毒主要通过移动介质传播,主要感染以.doc、.jpg、.txt或.exe为后缀名的文件,偶尔也会感染文件夹,如果你有大量的doc文档或jpg文档需要在不同的机器行拷来拷去,一旦被它缠上,那绝对是灾难一场。

  此病毒感染文件后的主要表现为:被感染的原始文件消失,代之以.exe为后缀名的同名文件,双击这些.exe文件,还会造成重复感染。

  SOLA病毒在打开了自动播放功能的机器上十分容易发作。它会关联盘符的双击动作和右键打开动作,全盘感染文件,并在后台监控新插入的移动介质,一旦发现有新的可写移动存储介质插入,将迅速感染新的移动存储介质。

  实际上,这些消失了的文件并没有真正丢失,而是放在与之同名的.exe文件中,而这些.exe文件,实际上是用rar.exe命令行软件压缩后的自解压文件,里面还存有一个Function.dll文件和一个以.bat为后缀名的文件。把这些病毒exe文件后缀名改为.rar之后,用WinRAR软件打开它,可以看到里面保存有上述文件——强烈建议先改为.rar后缀之后再打开,否则,很容易造成重复感染!

  本人头两天在同事机器上帮忙转移机器上的办公文档之后,U盘不慎中此病毒,幸好本人机器上的Norton干起活来还不赖,稀里哗啦删除了不少染毒文件。幸好U盘里的文档在我的机器上早已有备份,否则,我只有跳楼的份了。

  触目惊心的教训就摆在眼前,迫使我花了点时间去了解这个病毒,一番搜索下来,居然发现SOLA病毒的主体代码竟然是批处理写就,并且作者良心未泯(抑或是作者太过狡猾?),染毒文件都已经做了备份,可以手工恢复。但是用手工恢复的方法太费事,于是狠下心来,花了两天功夫,从rar.exe命令学起,边学边写代码,于是产生了“SOLA病毒染毒文件修复工具V1.0”。

  本工具能修复被SOLA病毒感染的文件,从而最大程度减少您的损失!

  注意:

  1、本工具需要与WinRAR的命令行程序rar.exe一起配合使用:把rar.exe放到批处理所在的目录下,或者放到%path%所在目录,或者把rar.exe所在的目录加入到%path%环境变量中去;可以到这个帖子中下载rar.exe程序:http://bbs.bathome.net/viewthread.php?tid=4143
  2、修复文件时,将会把染毒文件添加.rar后缀名,而不是直接删除,若不放心可以直接手工解毒;
  3、这个代码虽然反复做了测试,以保证各种功能不出错,但是,有可能还有考虑不周的地方,请各位测试之后及时提出,以便消除bug;
  4、晚上已经没多少时间发表更多的资料,关于SOLA更详细的资料明天再在2楼发出。
  1. @echo off

  2. :: 功能:修复被SOLA病毒感染的文件

  3. :: 1、可以列出指定路径下所有受感染文件的列表,并可以按文件类型导出受感染文件的列表

  4. :: 2、可以对文件列表中列出的文件进行修复,也可以对指定路径下的文件进行修复

  5. :: Cody by namejm @bbs.bathome.net 2009.4.12~

  6. :: 声明:转载请注明出处

  7. 

  8. color 2f

  9. mode con lines=25

  10. set TT=SOLA病毒染毒文件修复工具1.0

  11. 

  12. :Main

  13. title %TT%-SOLA病毒简介

  14. cls

  15. echo.&echo.

  16. echo                                SOLA病毒简介

  17. echo.

  18. echo      SOLA病毒主要通过移动介质传播,主要感染以.doc、.jpg、.txt或.exe为后缀名

  19. echo    的文件,偶尔也会感染文件夹。

  20. echo.

  21. echo      SOLA病毒在打开了自动播放功能的机器上十分容易发作。它会关联盘符的双击动

  22. echo    作和右键打开动作,全盘感染文件,并在后台监控新插入的移动介质,一旦发现有新

  23. echo    的可写移动存储介质插入,将迅速感染新的移动存储介质。

  24. echo.

  25. echo      此病毒感染文件后的主要表现为:被感染的原始文件消失,代之以.exe为后缀名

  26. echo    的同名文件,双击这些.exe文件,还会造成重复感染。

  27. echo.

  28. echo      实际上,这些消失了的文件并没有真正丢失,而是放在与之同名的.exe文件中,

  29. echo    而这些.exe文件,实际上是用rar.exe命令行软件压缩后的自解压文件,里面还存有

  30. echo    一个Function.dll文件和一个以.bat为后缀名的文件。把这些病毒exe文件后缀名改

  31. echo    为.rar之后,用WinRAR软件打开它,可以看到里面保存有上述文件——强烈建议先改

  32. echo    为.rar后缀之后再打开,否则,很容易造成重复感染!

  33. echo.

  34. echo      本工具能修复被SOLA病毒感染的文件,从而最大程度减少您的损失!

  35. echo.&echo                              按任意键继续...

  36. pause>nul

  37. 

  38. :ChooseFunction

  39. title %TT%-选择功能

  40. cls

  41. echo.&echo.

  42. echo      本程序具有两大功能:获取染毒文件列表和修复染毒文件。

  43. echo.

  44. echo      若您仅需获取染毒文件列表,可以选择直接显示在当前屏幕上,或是保存到相应

  45. echo    的文本文件中,以方便您掌握SOLA病毒感染情况,从而有利于您做出合适的后续选择。

  46. echo.

  47. echo      修复染毒文件支持两种方式:通过直接扫描硬盘上的文件获取染毒文件列表,或

  48. echo    是读取上一次保存的染毒文件列表。修复时也可以选择是否保存染毒文件列表。

  49. echo.

  50. echo      请选择您需要的功能。

  51. echo.&echo.

  52. echo                         1 仅获取染毒文件列表

  53. echo.

  54. echo                         2 修复染毒文件

  55. echo.&echo.&echo.

  56. set Mode=

  57. set /p Mode=                        请选择功能(1/2):

  58. if not defined Mode goto Main

  59. if /i "%Mode%"=="1" goto ScanVirus

  60. if /i "%Mode%"=="2" goto ScanVirus

  61. goto Main

  62. 

  63. :ScanVirus

  64. cls

  65. title %TT%-扫描病毒

  66. set "ScanRoute=%cd%"

  67. echo.&echo.

  68. echo      请输入要扫描的路径,或是把要处理的文件夹直接拖曳到本窗口中,程序将扫描

  69. echo    指定路径及其所有子目录下的所有染毒文件。

  70. echo.

  71. echo      直接回车将扫描当前目录及其所有子目录。

  72. echo.&echo.

  73. set /p ScanRoute=         请输入需要扫描的路径:

  74. set "ScanRoute=%ScanRoute:"=%"

  75. if /i "%Mode%"=="2" (

  76.     findstr /ic:"扫描项目:Sola病毒染毒文件扫描" "%ScanRoute%">nul 2>nul&&goto RepairFromList

  77. )

  78. set OutPut=

  79. set /p OutPut=       是否导出染毒文件列表(Y=是 其他键=否):

  80. if /i "%OutPut%"=="y" (

  81.     set OutPut=染毒文件列表.txt

  82. ) else set OutPut=

  83. if defined OutPut (

  84.     echo        请在下面指定保存路径(支持文件夹拖曳,直接回车将保存在当前目录下)

  85.     set "SaveRoute=%cd%"

  86.     set /p SaveRoute=       

  87.     if defined SaveRoute call set "SaveRoute=%%SaveRoute:"=%%"

  88.     call md "%%SaveRoute%%" 2>nul

  89.     call set "Output=%%SaveRoute%%.\%OutPut%"

  90.     (

  91.         echo 扫描项目:Sola病毒染毒文件扫描

  92.         echo 扫描时间:%date% %time%

  93.         echo 扫描目录(含子目录): "%ScanRoute%"

  94.         echo -------------------------------------------------------

  95.         echo.

  96.     )>"%OutPut%"

  97.     set OutPut=^>^>"%OutPut%"

  98. )

  99. if /i "%Mode%"=="2" goto RepairFiles

  100. 

  101. :ChooseScanMode

  102. cls

  103. title %TT%-选择扫描模式

  104. for /f "delims==" %%i in ('set num_ 2^>nul') do set %%i=0

  105. echo.&echo.

  106. echo       本工具提供了三种扫描模式,分别应对不同的情况,请视情况选择最适合的扫描

  107. echo     模式。

  108. echo.

  109. echo       最快模式:只验证exe压缩包中是否存在Function.dll,速度最快,精确度较低

  110. echo     ,并且导出的染毒文件列表不能按照原始文件类型进行统计,但是能适应文件中毒后

  111. echo     只改文件名不改后缀名的情况。

  112. echo.

  113. echo       快速模式:只验exe证压缩包中是否存在与exe文件同名的doc、jpg、txt或com文

  114. echo     件,速度较快,精度较高,导出的染毒文件列表能按照原始文件类型进行统计,但是

  115. echo     不能适应文件中毒后改名的情况。

  116. echo.

  117. echo       精确模式:同时验证exe压缩包中是否存在Function.dll文件、是否存在与exe文

  118. echo     件同名的doc、jpg、txt或com文件,精确度极高,速度较慢,导出的染毒文件列表能

  119. echo     按照原始文件类型进行统计,但是不能适应文件中毒后改名的情形。

  120. echo.

  121. echo                               1、最快模式

  122. echo.

  123. echo                               2、快速模式

  124. echo.

  125. echo                               3、精确模式

  126. echo.

  127. set ScanMode=

  128. set /p ScanMode=                       请选择扫描模式(1/2/3):

  129. if not defined ScanMode goto ChooseScanMode

  130. if "%ScanMode%"=="1" goto ScanQuickly1

  131. if "%ScanMode%"=="2" goto ScanQuickly2

  132. if "%ScanMode%"=="3" goto ScanExactly

  133. goto ScanMode

  134. 

  135. :ScanQuickly1

  136. :: 快速扫描并列出所有被感染文件的路径

  137. :: 只验证压缩包中是否存在Function.dll,最快速,最不精确,不能按照文件类型进行统计,

  138. :: 但是能适应文件中毒后只改文件名不改后缀名的情况

  139. cls

  140. title %TT%-最快扫描模式

  141. echo.&echo.&echo.&echo.&echo.&echo.&echo.

  142. echo                正在扫描以下目录及其所有子目录,请耐心等待...

  143. echo.

  144. echo                "%ScanRoute%"

  145. echo.

  146. set num=0

  147. for /f "delims=" %%i in ('dir /a-d /b /s "%ScanRoute%.\*.exe"') do (

  148.    title 正在扫描"%%i"

  149.    for /f "delims=" %%j in ('rar lb "%%i"^|findstr /beic:"Function.dll"') do (

  150.        set /a num+=1

  151.        call echo .exe| "%%i"%OutPut%

  152.     )

  153. )

  154. (

  155.     echo.

  156.     echo -------------------------------------------------------

  157.     echo 被感染的文件总计 %num% 个

  158. )%OutPut%

  159. goto End

  160. 

  161. :ScanQuickly2

  162. :: 快速扫描并按照文件类型列出所有被感染文件的路径

  163. :: 只验证压缩包中是否存在与exe文件同名的.doc、.jpg、.txt或.com文件,不够精确,不能

  164. :: 适应文件中毒后改名的情形

  165. :: 因为文件名中可能存在空格,所以,findstr不能精确匹配首尾

  166. cls

  167. title %TT%-快速扫描模式

  168. echo.&echo.&echo.&echo.&echo.&echo.&echo.

  169. echo                正在扫描以下目录及其所有子目录,请耐心等待...

  170. echo.

  171. echo                "%ScanRoute%"

  172. echo.

  173. for /f "delims=" %%i in ('dir /a-d /b /s "%ScanRoute%.\*.exe"') do (

  174.     title 正在扫描"%%i"

  175.     set type=

  176.     for /f "delims=" %%j in ('rar lb "%%i"^|findstr /ei "\.doc \.jpg \.txt \.com"') do (

  177.         if /i "%%~ni"=="%%~nj" (

  178.             set /a num_%%~xj+=1

  179.             set type=%%~xj

  180.             call echo %%type%%| "%%i"%OutPut%

  181.         )

  182.     )

  183. )

  184. goto Count

  185. 

  186. :ScanExactly

  187. :: 用最精确的方法判断染毒文件,并按照文件类型列出所有被感染文件的路径

  188. :: 先验证压缩包中是否存在Function.dll文件,再验证压缩包中是否存在与exe文件同名的doc

  189. :: jpg、txt或com文件,比较精确,不能适应文件中毒后改名的情形

  190. :: 因为文件名中可能存在空格,所以,不能用findstr /be同时匹配首尾

  191. cls

  192. title %TT%-精确扫描模式

  193. echo.&echo.&echo.&echo.&echo.&echo.&echo.

  194. echo                正在扫描以下目录及其所有子目录,请耐心等待...

  195. echo.

  196. echo                "%ScanRoute%"

  197. echo.

  198. for /f "delims=" %%i in ('dir /a-d /b /s "%ScanRoute%.\*.exe"') do (

  199.     title 正在扫描"%%i"

  200.     for /f "delims=" %%j in ('rar lb "%%i"^|findstr /beic:"Function.dll"') do (

  201.         set type=

  202.         for /f "delims=" %%k in ('rar lb "%%i"^|findstr /ei "\.doc \.jpg \.txt \.com"') do (

  203.             if /i "%%~ni"=="%%~nk" (

  204.                 set /a num_%%~xk+=1

  205.                 set type=%%~xk

  206.                 call echo %%type%%| "%%i"%OutPut%

  207.             )

  208.         )

  209.     )

  210. )

  211. 

  212. :Count

  213. set Total=0

  214. (

  215.     echo.

  216.     echo -------------------------------------------------------

  217. )%OutPut%

  218. for /f "tokens=2,3 delims=_=" %%i in ('set num_ 2^>nul') do (

  219.     echo 被感染的%%i文件 %%j 个%OutPut%

  220.     set /a Total+=%%j

  221. )

  222. echo 被感染的文件总计 %Total% 个%OutPut%

  223. :: 按类型罗列被感染文件

  224. if defined OutPut (

  225.     cls

  226.     echo.&echo.&echo.&echo.&echo.&echo.&echo.

  227.     echo                正在按照文件类型整理被感染的文件,请稍候...

  228.     for %%i in (doc jpg txt com) do (

  229.         (

  230.             echo 扫描项目:Sola病毒染毒文件扫描(仅.%%i格式)

  231.             echo 扫描时间:%date% %time%

  232.             echo 扫描目录(含子目录): "%ScanRoute%"

  233.             echo -------------------------------------------------------

  234.             echo.

  235.         )>.%%i格式染毒文件列表.txt

  236.     )

  237.     for /f "tokens=1* delims=| " %%i in ('findstr /b "\." "%OutPut:~3,-1%"') do (

  238.         echo %%i| "%%~fj">>"%SaveRoute%.\%%~xi格式染毒文件列表.txt"

  239.     )

  240.     for /f "tokens=2,3 delims=_=" %%j in ('set num_ 2^>nul') do (

  241.         (

  242.             echo.

  243.             echo -------------------------------------------------------

  244.             echo 被感染的%%j文件总计 %%k 个

  245.         )>>"%SaveRoute%.\%%j格式染毒文件列表.txt"

  246.     )

  247. )

  248. 

  249. :End

  250. echo.

  251. echo                按任意键退出...

  252. pause>nul

  253. exit

  254. 

  255. :RepairFiles

  256. :: 恢复染毒文件

  257. :: 先探测哪些是染毒文件,然后从染毒文件中解压出原始文件,并把染毒文件加上.rar后缀名做备份

  258. :: 并去掉原始文件可能存在的各种属性

  259. :: 若原始文件是exe,还需要把解压出来的com改名为exe

  260. :: 因为病毒作者提取文件名的时候,把第一个点号之前的字符串认为是完整的文件名

  261. :: 因此,当文件名中含有多个点号的时候,恢复出来的文件名只保留第一个点号之前的字符串

  262. findstr /ic:"扫描项目:Sola病毒染毒文件扫描" "%ScanRoute%">nul 2>nul&&goto RepairFromList

  263. :: 通过扫描染毒文件来确定要修复的文件

  264. :: 为了能适应扫描大量文件对速度的要求,同时也为了适应中毒后手工修改文件名的极端情况

  265. :: 按照最快扫描模式判断染毒文件

  266. cls

  267. title %TT%-通过扫描染毒文件确定要修复的文件

  268. echo.&echo.&echo.&echo.&echo.&echo.&echo.

  269. echo                正在修复以下目录及其所有子目录中的染毒文件,请耐心等待...

  270. echo.

  271. echo                "%ScanRoute%"

  272. echo.

  273. for /f "delims=" %%i in ('dir /a-d /b /s "%ScanRoute%.\*.exe"') do (

  274.     for /f "delims=" %%j in ('rar lb "%%i"^|findstr /beic:"Function.dll"') do (

  275.         echo .exe| "%%i"%OutPut%

  276.         rar e -c- -idq "%%i" "%%~dpi" n "%%~ni.*"&&(

  277.             ren "%%i" "%%~nxi.rar"

  278.             attrib -s -h -r "%%~dpni.*"

  279.             ren "%%~dpni.com" "*.exe" 2>nul

  280.         )

  281.     )

  282. )

  283. echo.

  284. echo                按任意键退出...

  285. pause>nul

  286. exit

  287. 

  288. :RepairFromList

  289. :: 从染毒文件列表中获取要修复的文件

  290. :: 以点号打头的行为文件路径所在的行

  291. cls

  292. title %TT%-从染毒文件列表获取要修复的文件

  293. echo.&echo.&echo.&echo.&echo.&echo.&echo.

  294. echo                正在修复以下文件中所列出的染毒文件,请耐心等待...

  295. echo.

  296. echo                "%ScanRoute%"

  297. echo.

  298. for /f "tokens=1* delims=| " %%i in ('findstr /b "\." "%ScanRoute%"') do (

  299.     echo 正在处理 %%j

  300.     rar e -c- -idq %%j "%%~dpj" n "%%~nj.*"&&(

  301.         ren %%j "%%~nxj.rar"

  302.         attrib -s -h -r "%%~dpnj.*"

  303.         ren "%%~dpnj.com" "*.exe" 2>nul

  304.     )

  305. )

  306. echo.

  307. echo                按任意键退出...

  308. pause>nul

  309. exit
复制代码
收藏 分享
尺有所短寸有所长,学好批处理没商量;
考虑问题复杂化,解决问题简洁化。
心在天山,身老沧州。

namejm

Rank: 8Rank: 8

帖子
1348 
积分
5183 
技术
142  
捐助
501  
注册时间
2007-10-25 
2
发表于 2009-4-13 00:09 | 只看该作者
占位编辑
尺有所短寸有所长,学好批处理没商量;
考虑问题复杂化,解决问题简洁化。
心在天山,身老沧州。

TOP

Batcher

Rank: 12Rank: 12Rank: 12

帖子
14787 
积分
45963 
技术
847  
捐助
745  
注册时间
2008-6-9 
3
发表于 2009-4-13 00:24 | 只看该作者
1、本工具需要与WinRAR的命令行程序rar.exe一起配合使用;

这里是否考虑明确指出应该把rar.exe和批处理放到同一目录(或者修改PATH环境变量)?
我帮忙写的代码不需要付钱。如果一定要给,请在微信群或QQ群发给大家吧。
【微信公众号、微信群、QQ群】http://bbs.bathome.net/thread-3473-1-1.html
【支持批处理之家,加入VIP会员!】http://bbs.bathome.net/thread-67716-1-1.html

TOP

namejm

Rank: 8Rank: 8

帖子
1348 
积分
5183 
技术
142  
捐助
501  
注册时间
2007-10-25 
4
发表于 2009-4-13 22:16 | 只看该作者
  遵照batcher的提议,已经修改了那个提示。
尺有所短寸有所长,学好批处理没商量;
考虑问题复杂化,解决问题简洁化。
心在天山,身老沧州。

TOP

stuqx

Rank: 4

帖子
87 
积分
499 
技术
0  
捐助
0  
注册时间
2009-3-7 
5
发表于 2009-4-14 11:54 | 只看该作者
呵呵   楼主也中这个病毒了呀   我前几个礼拜也见了这个  手动删完了  不过DOC什么的文件还在

TOP

Batcher

Rank: 12Rank: 12Rank: 12

帖子
14787 
积分
45963 
技术
847  
捐助
745  
注册时间
2008-6-9 
6
发表于 2009-4-14 13:46 | 只看该作者

回复 5楼 的帖子

这个病毒作者放出的病毒不止一个版本,中毒后的症状有所不同,手工查杀的方法也有所区别。
我帮忙写的代码不需要付钱。如果一定要给,请在微信群或QQ群发给大家吧。
【微信公众号、微信群、QQ群】http://bbs.bathome.net/thread-3473-1-1.html
【支持批处理之家,加入VIP会员!】http://bbs.bathome.net/thread-67716-1-1.html

TOP

返回列表