[安全相关] SOLA病毒染毒文件批处理修复工具V1.0

namejm

　　SOLA病毒主要通过移动介质传播，主要感染以.doc、.jpg、.txt或.exe为后缀名的文件，偶尔也会感染文件夹，如果你有大量的doc文档或jpg文档需要在不同的机器行拷来拷去，一旦被它缠上，那绝对是灾难一场。

　　此病毒感染文件后的主要表现为：被感染的原始文件消失，代之以.exe为后缀名的同名文件，双击这些.exe文件，还会造成重复感染。

　　SOLA病毒在打开了自动播放功能的机器上十分容易发作。它会关联盘符的双击动作和右键打开动作，全盘感染文件，并在后台监控新插入的移动介质，一旦发现有新的可写移动存储介质插入，将迅速感染新的移动存储介质。

　　实际上，这些消失了的文件并没有真正丢失，而是放在与之同名的.exe文件中，而这些.exe文件，实际上是用rar.exe命令行软件压缩后的自解压文件，里面还存有一个Function.dll文件和一个以.bat为后缀名的文件。把这些病毒exe文件后缀名改为.rar之后，用WinRAR软件打开它，可以看到里面保存有上述文件——强烈建议先改为.rar后缀之后再打开，否则，很容易造成重复感染！

　　本人头两天在同事机器上帮忙转移机器上的办公文档之后，U盘不慎中此病毒，幸好本人机器上的Norton干起活来还不赖，稀里哗啦删除了不少染毒文件。幸好U盘里的文档在我的机器上早已有备份，否则，我只有跳楼的份了。

　　触目惊心的教训就摆在眼前，迫使我花了点时间去了解这个病毒，一番搜索下来，居然发现SOLA病毒的主体代码竟然是批处理写就，并且作者良心未泯（抑或是作者太过狡猾？），染毒文件都已经做了备份，可以手工恢复。但是用手工恢复的方法太费事，于是狠下心来，花了两天功夫，从rar.exe命令学起，边学边写代码，于是产生了“SOLA病毒染毒文件修复工具V1.0”。

　　本工具能修复被SOLA病毒感染的文件，从而最大程度减少您的损失！

　　注意：

　　1、本工具需要与WinRAR的命令行程序rar.exe一起配合使用：把rar.exe放到批处理所在的目录下，或者放到%path%所在目录，或者把rar.exe所在的目录加入到%path%环境变量中去；可以到这个帖子中下载rar.exe程序：http://bbs.bathome.net/viewthread.php?tid=4143；
　　2、修复文件时，将会把染毒文件添加.rar后缀名，而不是直接删除，若不放心可以直接手工解毒；
　　3、这个代码虽然反复做了测试，以保证各种功能不出错，但是，有可能还有考虑不周的地方，请各位测试之后及时提出，以便消除bug；
　　4、晚上已经没多少时间发表更多的资料，关于SOLA更详细的资料明天再在2楼发出。

@echo off
:: 功能：修复被SOLA病毒感染的文件
:: 1、可以列出指定路径下所有受感染文件的列表，并可以按文件类型导出受感染文件的列表
:: 2、可以对文件列表中列出的文件进行修复，也可以对指定路径下的文件进行修复
:: Cody by namejm @bbs.bathome.net 2009.4.12～
:: 声明：转载请注明出处

color 2f
mode con lines=25
set TT=SOLA病毒染毒文件修复工具1.0

:Main
title %TT%-SOLA病毒简介
cls
echo.&echo.
echo                                SOLA病毒简介
echo.
echo    　　SOLA病毒主要通过移动介质传播，主要感染以.doc、.jpg、.txt或.exe为后缀名
echo    的文件，偶尔也会感染文件夹。
echo.
echo    　　SOLA病毒在打开了自动播放功能的机器上十分容易发作。它会关联盘符的双击动
echo    作和右键打开动作，全盘感染文件，并在后台监控新插入的移动介质，一旦发现有新
echo    的可写移动存储介质插入，将迅速感染新的移动存储介质。
echo.
echo 　   　此病毒感染文件后的主要表现为：被感染的原始文件消失，代之以.exe为后缀名
echo    的同名文件，双击这些.exe文件，还会造成重复感染。
echo.
echo 　   　实际上，这些消失了的文件并没有真正丢失，而是放在与之同名的.exe文件中，
echo    而这些.exe文件，实际上是用rar.exe命令行软件压缩后的自解压文件，里面还存有
echo    一个Function.dll文件和一个以.bat为后缀名的文件。把这些病毒exe文件后缀名改
echo    为.rar之后，用WinRAR软件打开它，可以看到里面保存有上述文件——强烈建议先改
echo    为.rar后缀之后再打开，否则，很容易造成重复感染！
echo.
echo 　　   本工具能修复被SOLA病毒感染的文件，从而最大程度减少您的损失！
echo.&echo                              按任意键继续...
pause>nul

:ChooseFunction
title %TT%-选择功能
cls
echo.&echo.
echo    　　本程序具有两大功能：获取染毒文件列表和修复染毒文件。
echo.
echo    　　若您仅需获取染毒文件列表，可以选择直接显示在当前屏幕上，或是保存到相应
echo    的文本文件中，以方便您掌握SOLA病毒感染情况，从而有利于您做出合适的后续选择。
echo.
echo    　　修复染毒文件支持两种方式：通过直接扫描硬盘上的文件获取染毒文件列表，或
echo    是读取上一次保存的染毒文件列表。修复时也可以选择是否保存染毒文件列表。
echo.
echo    　　请选择您需要的功能。
echo.&echo.
echo                         1 仅获取染毒文件列表
echo.
echo                         2 修复染毒文件
echo.&echo.&echo.
set Mode=
set /p Mode=                        请选择功能（1/2）：
if not defined Mode goto Main
if /i "%Mode%"=="1" goto ScanVirus
if /i "%Mode%"=="2" goto ScanVirus
goto Main

:ScanVirus
cls
title %TT%-扫描病毒
set "ScanRoute=%cd%"
echo.&echo.
echo    　　请输入要扫描的路径，或是把要处理的文件夹直接拖曳到本窗口中，程序将扫描
echo    指定路径及其所有子目录下的所有染毒文件。
echo.
echo    　　直接回车将扫描当前目录及其所有子目录。
echo.&echo.
set /p ScanRoute=         请输入需要扫描的路径：
set "ScanRoute=%ScanRoute:"=%"
if /i "%Mode%"=="2" (
    findstr /ic:"扫描项目：Sola病毒染毒文件扫描" "%ScanRoute%">nul 2>nul&&goto RepairFromList
)
set OutPut=
set /p OutPut=     　　是否导出染毒文件列表（Y=是 其他键=否）：
if /i "%OutPut%"=="y" (
    set OutPut=染毒文件列表.txt
) else set OutPut=
if defined OutPut (
    echo      　　请在下面指定保存路径（支持文件夹拖曳，直接回车将保存在当前目录下）
    set "SaveRoute=%cd%"
    set /p SaveRoute=     　　
    if defined SaveRoute call set "SaveRoute=%%SaveRoute:"=%%"
    call md "%%SaveRoute%%" 2>nul
    call set "Output=%%SaveRoute%%.\%OutPut%"
    (
        echo 扫描项目：Sola病毒染毒文件扫描
        echo 扫描时间：%date% %time%
        echo 扫描目录（含子目录）： "%ScanRoute%"
        echo -------------------------------------------------------
        echo.
    )>"%OutPut%"
    set OutPut=^>^>"%OutPut%"
)
if /i "%Mode%"=="2" goto RepairFiles

:ChooseScanMode
cls
title %TT%-选择扫描模式
for /f "delims==" %%i in ('set num_ 2^>nul') do set %%i=0
echo.&echo.
echo     　　本工具提供了三种扫描模式，分别应对不同的情况，请视情况选择最适合的扫描
echo     模式。
echo.
echo     　　最快模式：只验证exe压缩包中是否存在Function.dll，速度最快，精确度较低
echo     ，并且导出的染毒文件列表不能按照原始文件类型进行统计，但是能适应文件中毒后
echo     只改文件名不改后缀名的情况。
echo.
echo     　　快速模式：只验exe证压缩包中是否存在与exe文件同名的doc、jpg、txt或com文
echo     件，速度较快，精度较高，导出的染毒文件列表能按照原始文件类型进行统计，但是
echo     不能适应文件中毒后改名的情况。
echo.
echo     　　精确模式：同时验证exe压缩包中是否存在Function.dll文件、是否存在与exe文
echo     件同名的doc、jpg、txt或com文件，精确度极高，速度较慢，导出的染毒文件列表能
echo     按照原始文件类型进行统计，但是不能适应文件中毒后改名的情形。
echo.
echo                               1、最快模式
echo.
echo                               2、快速模式
echo.
echo                               3、精确模式
echo.
set ScanMode=
set /p ScanMode=                       请选择扫描模式（1/2/3）：
if not defined ScanMode goto ChooseScanMode
if "%ScanMode%"=="1" goto ScanQuickly1
if "%ScanMode%"=="2" goto ScanQuickly2
if "%ScanMode%"=="3" goto ScanExactly
goto ScanMode

:ScanQuickly1
:: 快速扫描并列出所有被感染文件的路径
:: 只验证压缩包中是否存在Function.dll，最快速，最不精确，不能按照文件类型进行统计，
:: 但是能适应文件中毒后只改文件名不改后缀名的情况
cls
title %TT%-最快扫描模式
echo.&echo.&echo.&echo.&echo.&echo.&echo.
echo                正在扫描以下目录及其所有子目录，请耐心等待...
echo.
echo                "%ScanRoute%"
echo.
set num=0
for /f "delims=" %%i in ('dir /a-d /b /s "%ScanRoute%.\*.exe"') do (
   title 正在扫描"%%i"
   for /f "delims=" %%j in ('rar lb "%%i"^|findstr /beic:"Function.dll"') do (
       set /a num+=1
       call echo .exe｜ "%%i"%OutPut%
    )
)
(
    echo.
    echo -------------------------------------------------------
    echo 被感染的文件总计 %num% 个
)%OutPut%
goto End

:ScanQuickly2
:: 快速扫描并按照文件类型列出所有被感染文件的路径
:: 只验证压缩包中是否存在与exe文件同名的.doc、.jpg、.txt或.com文件，不够精确，不能
:: 适应文件中毒后改名的情形
:: 因为文件名中可能存在空格，所以，findstr不能精确匹配首尾
cls
title %TT%-快速扫描模式
echo.&echo.&echo.&echo.&echo.&echo.&echo.
echo                正在扫描以下目录及其所有子目录，请耐心等待...
echo.
echo                "%ScanRoute%"
echo.
for /f "delims=" %%i in ('dir /a-d /b /s "%ScanRoute%.\*.exe"') do (
    title 正在扫描"%%i"
    set type=
    for /f "delims=" %%j in ('rar lb "%%i"^|findstr /ei "\.doc \.jpg \.txt \.com"') do (
        if /i "%%~ni"=="%%~nj" (
            set /a num_%%~xj+=1
            set type=%%~xj
            call echo %%type%%｜ "%%i"%OutPut%
        )
    )
)
goto Count

:ScanExactly
:: 用最精确的方法判断染毒文件，并按照文件类型列出所有被感染文件的路径
:: 先验证压缩包中是否存在Function.dll文件，再验证压缩包中是否存在与exe文件同名的doc
:: jpg、txt或com文件，比较精确，不能适应文件中毒后改名的情形
:: 因为文件名中可能存在空格，所以，不能用findstr /be同时匹配首尾
cls
title %TT%-精确扫描模式
echo.&echo.&echo.&echo.&echo.&echo.&echo.
echo                正在扫描以下目录及其所有子目录，请耐心等待...
echo.
echo                "%ScanRoute%"
echo.
for /f "delims=" %%i in ('dir /a-d /b /s "%ScanRoute%.\*.exe"') do (
    title 正在扫描"%%i"
    for /f "delims=" %%j in ('rar lb "%%i"^|findstr /beic:"Function.dll"') do (
        set type=
        for /f "delims=" %%k in ('rar lb "%%i"^|findstr /ei "\.doc \.jpg \.txt \.com"') do (
            if /i "%%~ni"=="%%~nk" (
                set /a num_%%~xk+=1
                set type=%%~xk
                call echo %%type%%｜ "%%i"%OutPut%
            )
        )
    )
)

:Count
set Total=0
(
    echo.
    echo -------------------------------------------------------
)%OutPut%
for /f "tokens=2,3 delims=_=" %%i in ('set num_ 2^>nul') do (
    echo 被感染的%%i文件 %%j 个%OutPut%
    set /a Total+=%%j
)
echo 被感染的文件总计 %Total% 个%OutPut%
:: 按类型罗列被感染文件
if defined OutPut (
    cls
    echo.&echo.&echo.&echo.&echo.&echo.&echo.
    echo                正在按照文件类型整理被感染的文件，请稍候...
    for %%i in (doc jpg txt com) do (
        (
            echo 扫描项目：Sola病毒染毒文件扫描（仅.%%i格式）
            echo 扫描时间：%date% %time%
            echo 扫描目录（含子目录）： "%ScanRoute%"
            echo -------------------------------------------------------
            echo.
        )>.%%i格式染毒文件列表.txt
    )
    for /f "tokens=1* delims=｜ " %%i in ('findstr /b "\." "%OutPut:~3,-1%"') do (
        echo %%i｜ "%%~fj">>"%SaveRoute%.\%%~xi格式染毒文件列表.txt"
    )
    for /f "tokens=2,3 delims=_=" %%j in ('set num_ 2^>nul') do (
        (
            echo.
            echo -------------------------------------------------------
            echo 被感染的%%j文件总计 %%k 个
        )>>"%SaveRoute%.\%%j格式染毒文件列表.txt"
    )
)

:End
echo.
echo                按任意键退出...
pause>nul
exit

:RepairFiles
:: 恢复染毒文件
:: 先探测哪些是染毒文件，然后从染毒文件中解压出原始文件，并把染毒文件加上.rar后缀名做备份
:: 并去掉原始文件可能存在的各种属性
:: 若原始文件是exe，还需要把解压出来的com改名为exe
:: 因为病毒作者提取文件名的时候，把第一个点号之前的字符串认为是完整的文件名
:: 因此，当文件名中含有多个点号的时候，恢复出来的文件名只保留第一个点号之前的字符串
findstr /ic:"扫描项目：Sola病毒染毒文件扫描" "%ScanRoute%">nul 2>nul&&goto RepairFromList
:: 通过扫描染毒文件来确定要修复的文件
:: 为了能适应扫描大量文件对速度的要求，同时也为了适应中毒后手工修改文件名的极端情况
:: 按照最快扫描模式判断染毒文件
cls
title %TT%-通过扫描染毒文件确定要修复的文件
echo.&echo.&echo.&echo.&echo.&echo.&echo.
echo                正在修复以下目录及其所有子目录中的染毒文件，请耐心等待...
echo.
echo                "%ScanRoute%"
echo.
for /f "delims=" %%i in ('dir /a-d /b /s "%ScanRoute%.\*.exe"') do (
    for /f "delims=" %%j in ('rar lb "%%i"^|findstr /beic:"Function.dll"') do (
        echo .exe｜ "%%i"%OutPut%
        rar e -c- -idq "%%i" "%%~dpi" n "%%~ni.*"&&(
            ren "%%i" "%%~nxi.rar"
            attrib -s -h -r "%%~dpni.*"
            ren "%%~dpni.com" "*.exe" 2>nul
        )
    )
)
echo.
echo                按任意键退出...
pause>nul
exit

:RepairFromList
:: 从染毒文件列表中获取要修复的文件
:: 以点号打头的行为文件路径所在的行
cls
title %TT%-从染毒文件列表获取要修复的文件
echo.&echo.&echo.&echo.&echo.&echo.&echo.
echo                正在修复以下文件中所列出的染毒文件，请耐心等待...
echo.
echo                "%ScanRoute%"
echo.
for /f "tokens=1* delims=｜ " %%i in ('findstr /b "\." "%ScanRoute%"') do (
    echo 正在处理 %%j
    rar e -c- -idq %%j "%%~dpj" n "%%~nj.*"&&(
        ren %%j "%%~nxj.rar"
        attrib -s -h -r "%%~dpnj.*"
        ren "%%~dpnj.com" "*.exe" 2>nul
    )
)
echo.
echo                按任意键退出...
pause>nul
exit
复制代码

namejm

占位编辑

Batcher

1、本工具需要与WinRAR的命令行程序rar.exe一起配合使用；

这里是否考虑明确指出应该把rar.exe和批处理放到同一目录（或者修改PATH环境变量）？

namejm

　　遵照batcher的提议，已经修改了那个提示。

stuqx

呵呵   楼主也中这个病毒了呀   我前几个礼拜也见了这个  手动删完了  不过DOC什么的文件还在

Batcher

这个病毒作者放出的病毒不止一个版本，中毒后的症状有所不同，手工查杀的方法也有所区别。