该病毒隐藏所有文件夹并用快捷方式替换它。
以上是快捷方式中的设置。
C:\Windows\system32\cmd.exe /C start cmd.exe /C if exist "\\server\folder\hAoix.NCf" start "" "\\server\folder\hAoix.NCf" && start "" "\\server\folder\cs3can"
C:\Windows\system32\cmd.exe /C start cmd.exe /C if exist "\\server\folder\hAoix.NCf" start "" "\\server\folder\hAoix.NCf" && start "" "\\server\Unloads\cs3d3t"
C:\Windows\system32\cmd.exe /C start cmd.exe /C if exist "\\server\folder\hAoix.NCf" start "" "\\server\folder\hAoix.NCf" && start "" "\\server\Unloads\cs3mex\unload_from_vegas_20120501"
我刚刚在服务器上完成了全面扫描,发现了这个
后门:Win32/Caphaw.D。
类别:
后门
描述:
该程序提供对安装它的计算机的远程访问。
建议的操作:立即删除该软件。
Forefront Endpoint Protection 检测到可能危及您的隐私或损坏您的计算机的程序。您仍然可以访问这些程序使用的文件,而无需删除它们(不推荐)。要访问这些文件,请选择“允许”操作并单击“应用操作”。如果此选项不可用,请以管理员身份登录或向安全管理员寻求帮助。
项目:
文件:E:\applications\Insite\Documents\Maps\xuAaQgW.hSp
在线获取有关此产品的更多信息。
更新:为什么 Microsoft Forefront 没有注意到这个问题?
我喜欢创建一个脚本,它穿过这些服务器并删除具有的快捷方式C:\Windows\system32\cmd.exe /C start cmd.exe /C。
如果我尝试手动操作,则会花费很长时间。
我曾在文件夹中使用过此命令。del /s *.lnk它完成了工作,但它删除了所有 lnk 内容
我只喜欢删除以 开头的快捷方式C:\Windows\system32\cmd.exe /C start cmd.exe /C。
答案1
清理程序
@echo off
set delims="delims=;"
for /F %%a in ('findstr /m /i /r "C:\\Windows\\system32\\cmd.exe[ ][ ]*/Cstart[ ][ ]*cmd.exe[ ][ ]*/C" c:\directory\*.lnk') do (
@echo %%a
echo rem del %%a
)