逍遥浪子45 - 2007-6-9 18:44:00
前提,需要用到工具冰刃--先把冰刃重命名为任意.EXE,接着禁止进程创建,然后再使用下面的BAT处理,
请复制下面代码到记事本,保存为任意名.BAT文件运行,如果被禁止运行,建议先把里面的杀毒,病毒字样去掉后再重试,那个病毒会自动关闭杀,毒字样的程序运行.
:KILL
@echo off
color A
cls
title 随机8位数字字母专杀程序--by 逍遥@浪子@
@echo ************************************************************
@echo # #
@echo # 欢迎使用随机8位数字字母专杀程序 #
@echo # #
@echo # 对付病毒,决不留情! by 逍遥@浪子@ #
@echo # #
@echo ************************************************************
:xianshi
@ECHO Windows Registry Editor Version 5.00>SHOWALL.reg
@ECHO [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]>>SHOWALL.reg
@ECHO "CheckedValue"=->>SHOWALL.reg
@ECHO [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]>>SHOWALL.reg
@ECHO "CheckedValue"=dword:00000001>>SHOWALL.reg
@REGEDIT /S SHOWALL.reg
@DEL /F /Q SHOWALL.reg
@echo ***********************************************************
@echo # 显示所有文件完毕! #
@echo # #
@echo # 按任意键继续 #
@echo ***********************************************************
@pause>nul 2>nul
goto jiesuo
:jiesuo
@cls
@echo Windows Registry Editor Version 5.00 >jiesuo.reg
@echo [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]>>jiesuo.reg
@echo "DisableRegistryTools"=dword:00000000>>jiesuo.reg
@regedit /s jiesuo.reg
@del /F /Q jiesuo.reg
@echo ***********************************************************
@echo # 解锁注册表完毕! #
@echo # #
@echo # 按任意键继续 #
@echo ***********************************************************
@pause>nul 2>nul
GOTO ZD
:zd
@cls
@echo Windows Registry Editor Version 5.00 >%systemroot%\autorun.reg
@echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]>>%systemroot%\autorun.reg
@echo "NoDriveTypeAutoRun"=dword:000000ff>>%systemroot%\autorun.reg
@regedit /s %systemroot%\autorun.reg
@del /F /Q %systemroot%\autorun.reg
@cls
@echo ***********************************************************
@echo # #
@echo # 关闭所有驱动器自动播放完毕! #
@echo # #
@echo # 请按任意键继续 #
@echo ***********************************************************
@pause>nul 2>nul
@GOTO qdyh
:qdyh
@cls
@echo ****************************************************************
@echo # 去掉可疑启动前面的勾,建议只保留两个启动项; 一个是"输入法" #
@echo # #
@echo # 另一个是"杀毒软件实时监控"(如果还装了防火墙,也请保留). #
@echo # #
@echo # ★ 下面是常见的启动项名: #
@echo # #
@echo # 卡巴斯基==kav 瑞星==RavTask 金山==KAVStart #
@echo # #
@echo # 江民==KV 输入法==ctfmon 天网==pfw.exe #
@echo # #
@echo ****************************************************************
@start "" msconfig.exe
@echo 按任意键继续
@pause>nul 2>nul
@GOTO DEL
:DEL
@CLS
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options /f >nul 2>nul
FOR %%a IN ( C: D: E: F: G: H: I: J: K: L: M: N: O: P: Q: R: S: T: U: V: W: X: Y: Z: )
set /p UserSelection=请输入要删除的病毒文件
ATTRIB -R -H -S -A %%a "%UserSelection%"
del /F /Q /A %%a "%UserSelection%"
@echo.
@echo 已经成功删除了该病毒文件!
@echo.
@echo 1:接着删除病毒文件 2:退出本程序
@echo.
@set /p UserSelection=输入您的选择(1、2 )
@if "%UserSelection%"=="1" goto del
@if "%UserSelection%"=="2" goto EXIT
goto del
:EXIT
CLS
@echo ***********************************************************
@echo # 查杀病毒完毕! #
@echo # #
@echo # 按任意键退出 #
@echo ***********************************************************
@pause>nul 2>nul
GOTO EBD
逍遥浪子45 - 2007-6-9 18:47:00
相关处理方法见
http://forum.ikaka.com/topic.asp?board=28&artid=8321467&page=1
baohe - 2007-6-9 19:12:00
| 引用: |
【逍遥浪子45的贴子】前提,需要用到工具冰刃--先把冰刃重命名为任意.EXE,接着禁止进程创建,然后再使用下面的BAT处理,
……………… |
一个问题:
现在新出的变种,即使改名运行了IS,病毒迅速将IS窗口最小化.
基本不能做任何操作.
孤独更可靠 - 2007-6-9 19:16:00
还有一个问题是``
能开IS的话```什么都可以搞定了````
逍遥浪子45 - 2007-6-9 19:32:00
| 引用: |
【baohe的贴子】
一个问题:
现在新出的变种,即使改名运行了IS,病毒迅速将IS窗口最小化.
基本不能做任何操作.
……………… |
呵呵,猫叔,那个可以用冰刃的参数调出隐藏的冰刃窗口吧?
以下是PJF大哥的话:
如何退出IceSword:直接关闭,若你要防止进程被结束时,需要以命令行形式输入:IceSword.exe /c,此时需要Ctrl+Alt+D才能关闭(使用三键前先按一下任意键)。
如果最小化到托盘时托盘图标又消失了:此时可以使用Ctrl+Alt+S将IceSword主界面唤出。因为偷懒没有重绘图标,将就用吧^_^。
4楼的朋友是江民的吧,呵呵,冰刃确实是PJF大哥的强力工具,但不是万能的哈,话不能说的太满,这个PJF大哥也曾经说过.具体可以找下我博客的PJF大哥博客连接!~
baohe - 2007-6-9 20:15:00
| 引用: |
【逍遥浪子45的贴子】
呵呵,猫叔,那个可以用冰刃的参数调出隐藏的冰刃窗口吧?
……………… |
中了那个新变种(worm.agent.wk)——试过。
不行。
这类病毒,重在预防。
IFEO劫持,也是如此。http://bbs.2dai.com/viewthread.php?tid=592121&extra=page%3D1
天月来了 - 2007-6-9 22:01:00
呵呵!!!!!
还是在批处理上下下工夫,看看在知道病毒主程序位置和名字的情况下,怎么做个重启开机时,抢在病毒前面删除相应病毒文件的批处理,这才是最主要的哦。才是绝的呢。
这样不会什么东西的求助的,都可以自己扫日志,按照日志,重启删除病毒文件了。
是吧?????
别依赖别的工具,才能用你这个。
孤独说了,能开IS,就不用你那个都可以卡嚓了。
呵呵!!!!!
再努力哦。
天月来了 - 2007-6-9 22:05:00
呵呵!!!
知道XDelBox1.2吧?????
这可是在系统中加入病毒文件的名字和路径,就可以轻松重启,抢在系统前DOS下删除病毒文件的哦。
这是最主要的思路哦。也是不太会处理病毒的求助者最容易上手学会的东西哦。
你只能在这上下工夫,才灵验哦。否则,现在的病毒不会那么容易对付的。
呵呵!!!!!
逍遥浪子45 - 2007-6-10 8:21:00
如果是这样的话,那么是需要改进批处理,由于病毒是随机的,让人把病毒文件名字先定义到配置文件中,用批处理调用配置文件,关于开机自己启动杀死病毒,可以做到,用AT命令或者是注册为系统服务,或者是搞个把自己添加到开机启动文件夹里,或者是弄个注册表启动,都可以实现...
现在的问题是,如果病毒先加载,那么进程运行后该如何杀那家伙本体?这个批处理无法实现的,那个参数不知道怎么写,如何可以禁止进程创建,要是批处理能实现,就不用冰刃了.
说到底,猫叔说的最有道理,关键是防御,批处理只能实现防毒,不能实现杀毒的,毕竟最多也就能做个专杀,对变种就没办法了,灵动性太差.
不过,那个8位随机病毒确实很好处理来着,一般远程帮人弄下就好了...
:DEL
@CLS
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options /f >nul 2>nul
这句就是删除掉IEFO劫持的..........
删除完后,我看干脆禁止使用注册表,那么就不会中那家伙了...
禁止使用注册表
@reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableRegistryTools /t reg_dword /d 00000001 /f
当以后要用的时候在解注册表..
@reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableRegistryTools /t reg_dword /d 00000000 /f
start regedit
以上代码都需保存为.BAT批处理文件脚本..
© 2000 - 2026 Rising Corp. Ltd.