Skypee病毒清理工具

用了別人的u盤插入電腦，然后發(fā)現電腦中了Skypee病毒，這里用批處理的方式快速刪除。點擊清除skypee.bat，復制到各個盤中，雙擊運行即可。病毒在每個盤創(chuàng)了個skypee隱藏文件夾，過會兒再殺又會從這些文件夾殺出googleupdate.ax3。每個盤根目錄下都有一個SKPEE的隱藏文件夾，刪掉就好了。

該病毒的癥狀主要有，無故創(chuàng)建快捷方式，一般在一級文件夾目錄下包含有該文件夾名字的快捷方式，U盤還有一些my games、my pictuers、my videos、hot、downloads、movies之類的類此Windows庫文件夾的快捷方式。刪除之后又會建立該快捷方式。所有的這些快捷方式都被偽裝為了文件夾的標志，并且指向一個叫AutoIt3.exe程序的位置，點擊就運行了。

徹底清除步驟：

1.顯示隱藏文件，找到病毒

Win + R，再輸入 control folders，進入“文件夾選項”界面。點擊“查看”，把“隱藏受保護的操作系統(tǒng)文件（推薦）”前面的勾去掉。選擇 “顯示隱藏的文件、文件夾和驅動器”。

2.刪除開機啟動項

打開“任務管理器”，點擊“啟動”，禁用AutoIt3.exe之類的，病毒還可能偽裝成GoogleUpda、WindowsUpdate神馬的，右鍵“屬性”可以看到啟動項實際位置，把C:\Google下的都刪了。

3.清理注冊表

Win+R，再輸入regedit，打開注冊表編輯器。搜索“C:\Google”，把相關結果刪除即可。

4.刪除病毒及其創(chuàng)建的快捷方式

我們這里用批處理的方式快速刪除。將以下內容保存為清除skypee.bat，復制到各個盤中，雙擊運行即可。

手動刪除Skypee病毒：

一、我們要找到該病毒的位置。一般病毒都會設置為隱藏，讓我們看不見，但這恰恰給了我們找到它的方法。我們先顯示隱藏的文件。win7下的步驟為雙擊“計算機”，左上角的“組織”，出現下拉菜單，點擊“文件夾和搜索選項”，就進入了“文件夾選項”界面。點擊“查看”，把“隱藏受保護的操作系統(tǒng)文件（推薦）”前面的勾去掉。選擇 “顯示隱藏的文件、文件夾和驅動器”。

快捷鍵 Win + R，再輸入 control folders也可以直接進入“文件夾選項”界面。

1.1顯示隱藏的文件-過程圖示

二、我們把所有驅動器（包括U盤）下面的隱藏的Skpee文件夾都刪除，特別要注意，C盤下面還有一個隱藏的Google文件夾，也要刪除，這些文件夾里面都有一個AutoIt3.exe的程序，好像還有一個google快捷方式，還有googleupdate.a3x腳本，記不太清楚了。如果無法刪除，顯示正在使用之類的，我們打開任務管理器，Ctrl+Alt+delete，再點擊“啟動任務管理器(K)”，或者直接在win7菜單欄右鍵，點擊“啟動任務管理器(K)”。點擊“顯示所有用戶的進程”，把AutoIt3.exe進程結束（點擊對應進程，再點擊右下角的結束進程）。

可以搜索AutoIt3.exe,把所有的相關文件都刪除，這樣比較保險。

真正的病毒體是googleupdate.a3x

執(zhí)行時依靠AutoIt3.exe調用googleupdate.a3x腳本。便會執(zhí)行其中的惡意代碼

如：

C:\Windows\system32\cmd.exe /c start skypee\autoit3.exe autoit3executescriptskypee\googleupdate.a3x explorer "�%" & exit

還有很多人一開機就顯示 “找不到C:\Google\googleupdate.a3x”之類，就是應為刪除了該文件，沒有清理開機啟動項、注冊表之類的垃圾。

三、刪除開機啟動項。Win+R，再輸入msconfig，再點擊“啟動”，把紙箱之前刪除的文件相關的開機啟動項都刪除。有可能隱藏為啟動項目為Adobe update之類，注意看清楚“命令”一行中應用程序的實際名字。記住“位置”中相應的鍵值。用于之后清理注冊表。

四、清理注冊表。Win+R，再輸入regedit，打開注冊表編輯器，點擊找到之前記錄的位置，將這些注冊表刪除。

五、刪除病毒創(chuàng)建的快捷方式。手動找到一級文件目錄下的所有無效快捷方式。第三四五步都可以用一些**殺毒軟件、者**安全衛(wèi)士、**管家來完成。

    到這里，病毒就全部清理完成。不放心可以用下殺毒軟件做個全盤掃描一下。

【檢查自身運行環(huán)境】

1. 檢查自身是否存在于“c:\google”目錄下，或目錄中是否包含“skypee”字樣，如果都沒有則退出

2. 通過創(chuàng)建互斥量“googleupdate”檢查自身是否已經運行，如果已經運行則退出，不重復運行

3. 檢查自身是否處于被分析的環(huán)境中，如果認定自己處于被分析的環(huán)境則退出。檢查邏輯如下表(字符串檢測均不區(qū)分大小寫)：

4. 檢查自身是否在“c:\google”目錄下，若不在，則將自身當前所在目錄復制為“c:\google”，同時將目錄設置為只讀/系統(tǒng)/隱藏屬性，啟動新目錄下的病毒腳本，并退出自身。

【創(chuàng)建開機自啟動】

手法比較常規(guī)，就是寫注冊表的run項和向“啟動”目錄添加快捷方式：

1. 注冊表run項

2. 向“啟動”文件夾寫入快捷方式

【感染全部磁盤】

1. 檢測注冊表值，設置為不顯示系統(tǒng)SuperHidden的文件：

2. 遍歷本地磁盤，在每個盤符下作如下操作：

a) 在當前盤符根目錄下新建名為“skypee”的目錄。并將autoit3.exe和病毒腳本復制到該目錄下。并將該目錄屬性設置為“只讀/系統(tǒng)/隱藏”

b) 遍歷當前盤符根目錄下所有文件夾，在每個文件夾下，創(chuàng)建一個與該文件夾同名的快捷方式文件�？旖莘绞街赶騛步驟中創(chuàng)建的病毒。并將快捷方式圖標設置為文件夾圖標

c) 如果當前盤符屬性為“removable”(最常見的是U盤)，則會在盤符根目錄下額外創(chuàng)建如下名稱的快捷方式，指向a步驟中的病毒復制體，并將快捷方式圖標設置為文件夾：

my games

mypictuers

my videos

hot

downloads

movies

【遠程控制】

腳本在完成上述操作之后，會利用一個死循環(huán)代碼常駐系統(tǒng)內存，并與遠端服務器通信實現遠程控制。

1. 首先會循環(huán)嘗試解析服務器列表中的所有域名，一旦解析成功則使用這個解析成功的域名作為連接地址，跳出這個嘗試循環(huán)。不過腳本本身只在列表中填了一個域名：superyou.zapto.org

2. 進入常駐內存的遠控死循環(huán)，連通遠程服務器的95端口。成功后，會先將本地的機器名、用戶名、所在國家、系統(tǒng)版本、當前存在的安全軟件等信息發(fā)送出去。然后等待遠端指令進行進一步操作。接受的指令如下：

由于腳本本身特性所致，很容易被編輯修改。所以分析人員將遠控的控制服務器稍作修改，就在自己的機器中實現了對虛擬機內腳本的控制。

簡單清除skypee：

1、請結束進程 cmd.exe  和 autoit3.exe （如有）、然后 將 C:\Google\googleupdate.a3x 刪除。
2、刪除開始菜單--程序--啟動  文件夾里面的快捷方式。