Skypee病毒清理工具

应用介绍

用了别人的u盘插入电脑，然后发现电脑中了Skypee病毒，这里用批处理的方式快速删除。点击清除skypee.bat，复制到各个盘中，双击运行即可。病毒在每个盘创了个skypee隐藏文件夹，过会儿再杀又会从这些文件夹杀出googleupdate.ax3。每个盘根目录下都有一个SKPEE的隐藏文件夹，删掉就好了。

该病毒的症状主要有，无故创建快捷方式，一般在一级文件夹目录下包含有该文件夹名字的快捷方式，U盘还有一些mygames、mypictuers、myvideos、hot、downloads、movies之类的类此Windows库文件夹的快捷方式。删除之后又会建立该快捷方式。所有的这些快捷方式都被伪装为了文件夹的标志，并且指向一个叫AutoIt3.exe程序的位置，点击就运行了。

彻底清除步骤：

1.显示隐藏文件，找到病毒

Win+R，再输入controlfolders，进入“文件夹选项”界面。点击“查看”，把“隐藏受保护的操作系统文件（推荐）”前面的勾去掉。选择“显示隐藏的文件、文件夹和驱动器”。

2.删除开机启动项

打开“任务管理器”，点击“启动”，禁用AutoIt3.exe之类的，病毒还可能伪装成GoogleUpda、WindowsUpdate神马的，右键“属性”可以看到启动项实际位置，把C:\Google下的都删了。

3.清理注册表

Win+R，再输入regedit，打开注册表编辑器。搜索“C:\Google”，把相关结果删除即可。

4.删除病毒及其创建的快捷方式

我们这里用批处理的方式快速删除。将以下内容保存为清除skypee.bat，复制到各个盘中，双击运行即可。

手动删除Skypee病毒：

一、我们要找到该病毒的位置。一般病毒都会设置为隐藏，让我们看不见，但这恰恰给了我们找到它的方法。我们先显示隐藏的文件。win7下的步骤为双击“计算机”，左上角的“组织”，出现下拉菜单，点击“文件夹和搜索选项”，就进入了“文件夹选项”界面。点击“查看”，把“隐藏受保护的操作系统文件（推荐）”前面的勾去掉。选择“显示隐藏的文件、文件夹和驱动器”。

快捷键Win+R，再输入controlfolders也可以直接进入“文件夹选项”界面。

1.1显示隐藏的文件-过程图示

二、我们把所有驱动器（包括U盘）下面的隐藏的Skpee文件夹都删除，特别要注意，C盘下面还有一个隐藏的Google文件夹，也要删除，这些文件夹里面都有一个AutoIt3.exe的程序，好像还有一个google快捷方式，还有googleupdate.a3x脚本，记不太清楚了。如果无法删除，显示正在使用之类的，我们打开任务管理器，Ctrl+Alt+delete，再点击“启动任务管理器(K)”，或者直接在win7菜单栏右键，点击“启动任务管理器(K)”。点击“显示所有用户的进程”，把AutoIt3.exe进程结束（点击对应进程，再点击右下角的结束进程）。

可以搜索AutoIt3.exe,把所有的相关文件都删除，这样比较保险。

真正的病毒体是googleupdate.a3x

执行时依靠AutoIt3.exe调用googleupdate.a3x脚本。便会执行其中的恶意代码

如：

C:\Windows\system32\cmd.exe/cstartskypee\autoit3.exeautoit3executescriptskypee\googleupdate.a3xexplorer"?%"&exit

还有很多人一开机就显示“找不到C:\Google\googleupdate.a3x”之类，就是应为删除了该文件，没有清理开机启动项、注册表之类的垃圾。

三、删除开机启动项。Win+R，再输入msconfig，再点击“启动”，把纸箱之前删除的文件相关的开机启动项都删除。有可能隐藏为启动项目为Adobeupdate之类，注意看清楚“命令”一行中应用程序的实际名字。记住“位置”中相应的键值。用于之后清理注册表。

四、清理注册表。Win+R，再输入regedit，打开注册表编辑器，点击找到之前记录的位置，将这些注册表删除。

五、删除病毒创建的快捷方式。手动找到一级文件目录下的所有无效快捷方式。第三四五步都可以用一些**杀毒软件、者**安全卫士、**管家来完成。

到这里，病毒就全部清理完成。不放心可以用下杀毒软件做个全盘扫描一下。

【检查自身运行环境】

1.检查自身是否存在于“c:\google”目录下，或目录中是否包含“skypee”字样，如果都没有则退出

2.通过创建互斥量“googleupdate”检查自身是否已经运行，如果已经运行则退出，不重复运行

3.检查自身是否处于被分析的环境中，如果认定自己处于被分析的环境则退出。检查逻辑如下表(字符串检测均不区分大小写)：

4.检查自身是否在“c:\google”目录下，若不在，则将自身当前所在目录复制为“c:\google”，同时将目录设置为只读/系统/隐藏属性，启动新目录下的病毒脚本，并退出自身。

【创建开机自启动】

手法比较常规，就是写注册表的run项和向“启动”目录添加快捷方式：

1.注册表run项

2.向“启动”文件夹写入快捷方式

【感染全部磁盘】

1.检测注册表值，设置为不显示系统SuperHidden的文件：

2.遍历本地磁盘，在每个盘符下作如下操作：

a)在当前盘符根目录下新建名为“skypee”的目录。并将autoit3.exe和病毒脚本复制到该目录下。并将该目录属性设置为“只读/系统/隐藏”

b)遍历当前盘符根目录下所有文件夹，在每个文件夹下，创建一个与该文件夹同名的快捷方式文件。快捷方式指向a步骤中创建的病毒。并将快捷方式图标设置为文件夹图标

c)如果当前盘符属性为“removable”(最常见的是U盘)，则会在盘符根目录下额外创建如下名称的快捷方式，指向a步骤中的病毒复制体，并将快捷方式图标设置为文件夹：

mygames

mypictuers

myvideos

hot

downloads

movies

【远程控制】

脚本在完成上述操作之后，会利用一个死循环代码常驻系统内存，并与远端服务器通信实现远程控制。

1.首先会循环尝试解析服务器列表中的所有域名，一旦解析成功则使用这个解析成功的域名作为连接地址，跳出这个尝试循环。不过脚本本身只在列表中填了一个域名：superyou.zapto.org

2.进入常驻内存的远控死循环，连通远程服务器的95端口。成功后，会先将本地的机器名、用户名、所在国家、系统版本、当前存在的安全软件等信息发送出去。然后等待远端指令进行进一步操作。接受的指令如下：

由于脚本本身特性所致，很容易被编辑修改。所以分析人员将远控的控制服务器稍作修改，就在自己的机器中实现了对虚拟机内脚本的控制。

简单清除skypee：

1、请结束进程cmd.exe??和autoit3.exe（如有）、然后将C:\Google\googleupdate.a3x删除。2、删除开始菜单--程序--启动??文件夹里面的快捷方式。

Tags:Skypee病毒,病毒专杀,清理工具.