您的位置：程序门 -> windows专区 -> 安全技术/病毒

系统自动运行批处理文件。

[收藏此页] [打印本页]选择字色：背景色：字体：[大][中][小]

系统自动运行批处理文件。[已结贴,结贴人:itzhli]

发表于：2008-01-09 17:15:45 楼主

winxp，有以下批处理文件：
c:\documents and settings\sun\cookies\~delbat01.bat
每隔2分钟20秒左右，执行一批，一批执行5次，即产生5个cmd.exe，执行完毕后cmd.exe进程自动退出。
批处理内容如下：

inifile code

del "c:\documents and settings\sun\cookies\*sogou*.txt"
del "c:\documents and settings\sun\cookies\~delbat01.bat"

其中“sun”为当前用户。

该批处理文件删除后约15秒即重新生成。
系统进程已经用icesword清理过，没有不明进程；用360安全卫士检查系统服务项，已将非系统服务全部禁用。
360安全卫士木马扫描、恶意软件扫描均无发现；卡巴斯基6，最新病毒库扫描，未发现任何问题。

请高手帮忙分析，谢谢。

发表于：2008-01-09 20:41:031楼得分:5

//该批处理文件删除后约15秒即重新生成。

说明有其它进程在监控这个文件。
你可以写个批处理删除这个文件，并生成一个同名文件夹，就像预防autorun.inf病毒一样。

发表于：2008-01-09 21:11:222楼得分:0

呃，这个批处理本身没有什么实质性的动作。
所以我目前没有怎么关注它，只是找不到它的监控进程，非常郁闷。

我现在的做法很极端：我直接将cmd.exe（包括system32下和system32\dllcache下的）备份后删除了。

每次自动执行批处理产生的cmd.exe进程其父进程都是explorer.exe，这也是让我非常痛苦的。
难道explorer.exe也会被注射？

我搜索系统盘上所有最近一段时间修改过的文件，没有发现有什么可以的dll或exe被修改。顺便问一下，文件属性里面的修改时间可靠么，有没有可能被故意更改？

发表于：2008-01-09 21:26:243楼得分:15

文件的创建时间及修改时间都是可以修改的（通过createfile（vc的函数）可以实现）
父进程是explorer.exe，你可以用冰刃查看其模块，找到可疑模块并卸除（不确定情况下可与其它进程模块对比），然后删这个批处理，看是否还会自动生成

这应该属于文件保护的范围，自动监视bat文件，一定是某进程被注入了，从检查模块入手

如果检查模块麻烦，可以安装e盾之类的hips软件，你删除掉这个bat后，如果系统欲重新建立时会提示你是否同意，寻并列是哪一个进程建立这个文件，你可以创建规则阻止建立该文件，你也可以从建立该文件的进程模块入手，找到真凶！

希望对你有所帮助！

发表于：2008-01-09 22:12:594楼得分:0

等下试试看，希望可以找到问题根源。
谢谢！

发表于：2008-01-11 19:10:055楼得分:0

问题解决，结贴。
再次感谢！

下一篇：文件夹看不到了
上一篇：弹出360.gcdws.com广告？？？

其他资讯