相关处理结果见
http://forum.ikaka.com/topic.asp?board=28&artid=8321467&page=1

专杀工具见
http://forum.ikaka.com/topic.asp?board=28&artid=8321490


猫叔,前些日子写的那关于  假如病毒通过IEFO劫持XP系统升级的问题  本人找了下那键值,老觉得眼熟,翻了翻以前收集的批处理程序,终于发现了那程序原来是通过IEFO劫持
将病毒本体禁止运行,想法实在是不错.

  这里公布点实用的禁止病毒运行的代码,毕竟我们写程序就是为了服务大家的,虽然很多人看不起批处理程序,但我希望能加精!~

用IEFO劫持禁止病毒运行1:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Control Panel\Desktop]
"AutoEndTasks"="1"
"HungAppTimeout"="200"
"WaitToKillAppTimeout"="200"
"WaitTOKillService"="200"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]
"WaitToKillServiceTimeout"="200"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters]
"EnablePrefetcher"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"SFCDisable"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AlwaysUnloadDLL]
@="0"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareServer"=dword:00000000
"AutoSharewks"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Windows]
"NoPopUpsOnBoot"=dword:00000001
[HKEY_CLASSES_ROOT\lnkfile]
@="快捷方式"
"EditFlags"=dword:00000001
"NeverShowExt"=""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RemoteComputer\NameSpace]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RemoteComputer\NameSpace\{2227A280-3AEA-1069-A2DE-08002B30309D}]
@="Printers"
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer]
"Link"=hex:00,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters]
"EnablePrefetcher"=dword:00000003
[HKEY_USERS\.DEFAULT\Control Panel\Desktop]
"FontSmoothing"="2"
"FontSmoothingType"=dword:00000002
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"MaxConnectionsPer1_0Server"=dword:00000008
"MaxConnectionsPerServer"=dword:00000008
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control]
"WaitToKillServiceTimeout"="1000"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Shareaza.exe]
"Debugger"="c:\\中国超级BT.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\4047.exe]
"Debugger"="c:\\中国超级BT捆绑的病毒.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TuoTu.exe]
"Debugger"="c:\\P2P类.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\qqfo1.0_dl.exe]
"Debugger"="c:\\P2P类.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SuperLANadmin.exe]
"Debugger"="c:\\破坏类.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WinPcap30.exe]
"Debugger"="c:\\破坏类.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WinPcap.exe]
"Debugger"="c:\\破坏类.exe"

保存为保存为.reg的文件,运行导入即可!需要禁止的病毒程序可以自己修改最后一个参数!




禁止病毒运行方法2:

for /f "delims=" %%i in (disable.ini) do (
    if %%i neq setup.exe (reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun /v !no_! /d %%i /f >nul)
    set /a no_+=1
    )
echo.&echo 有 !no_! 个怀疑病毒文件被列入禁止运行表。
echo.&echo 正在创建病毒免疫文件......
for /f "delims=" %%p in (logo.txt) do (
    if exist %%p (
        cacls %%p /e /t /p everyone:F >nul 2>nul
        attrib -r -s -h -a %%p >nul 2>nul
        del /q %%p >nul 2>nul
        rd /q %%p>nul
        )
    md %%p&attrib +s +r +h +a %%p >nul 2>nul
    cacls %%p /e /t /d everyone >nul 2>nul
    )

里面的disable.ini就是放病毒文件名称,发现新病毒只要把该文件写入禁止运行表disable.ini里面,这个请保存为.BAT文件,复制代码到记事本里面,同样disable.ini也是由记事本构成,把需要禁止运行的病毒写入记事本然后保存为disable.ini就可以了!~


禁止病毒运行3:

:fix
@echo ************************************************************
@echo #                                                          #
@echo #              正在进行免疫操作，请稍侯...                # 
@echo #                                                          #
@echo ************************************************************                         
:: 下一句中的 "全盘禁止运行%%i" 可以替换成任意的字符，都能起到全盘禁止运行指定exe的效果
for /f %%i in (list.ini) do (
    reg add "%route%\%%i" /v Debugger /t REG_SZ /d 全盘禁止运行%%i /f >nul 2>nul
)
@cls
@echo *********************************************************************
@echo #                                                                  #
@echo #  已限制威金、熊猫、金猪、兔宝宝、番茄花园病毒的运行,由于变种迅速  # 
@echo #                                                                  #
@echo #    如果中了以上病毒,请在list.ini文件写入病毒进程,以达到禁止病毒  #
@echo #                                                                  #
@echo #    运行的目的, 运行本程序后,请使用杀软对电脑进行杀毒！          #
@echo #                                                                  #
@echo *********************************************************************
@echo.
@echo      按任意键退出
@pause>nul 2>nul
GOTO EXIT


list.ini文件和上面操作的一样创建.同样保存为.BAT文件再运行.


有病毒问题可以和我联系,QQ在线技术支持:422547345,由于我爱好写批处理,以后将在猫叔分析病毒后争取在第一时间写出批处理杀毒程序,大家配合才能将事情办好啊!~,呵呵,虽然是自做多情,估计看到的没几个人欣赏,但是,我依然决定把我的成果给大家分享..

浪子依然是浪子,做真实的自己,或许会感觉充实!~呵呵

呵呵,那个随机的病毒难对付来着,我写了些专门对付DLL木马,对付木马病毒的进程分析程序,写了对付木马禁止运行的程序,哪位给点思路,怎么判断随机的木马名称?难道叫写个批处理搜索所有数字命名的EXE,全部DEL?严重汗下自己...

引用:

【天月来了的贴子】 你也笨死了，又不是要你先知先觉的处理。 是说已中毒的，并且知道主程序名的，你没见这求助的吗？ 啥工具都开不了哦，可还是能看到主程序名的，所以你得先教中毒的看主程序名，然后再教将名字放在你的批处理的位置。 必须举实例哦。 并不是真的可以处理所有随机名病毒，是单一处理。 ………………

好吧,一会我去找下求助贴,来个实例!~

呵呵,这个权限不是问题,病毒完全可以突破那问题,关键是那病毒现在使用的比较智能,它会先删除掉
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
再重新创建那项目,然后添加自己要劫持的程序名字,这点好象有点和批处理一样,用批处理也完全可以做到!~汗...那如何才能禁止那病毒劫持呢?我认为把要运行的程序随便修改下名字,那限制等于无效的,呵呵,昨天处理了个关于那劫持的 随机8位字母数字.EXE

那病毒很好处理来着,一会放上处理结果,步骤...

处理结果见
http://forum.ikaka.com/topic.asp?board=28&artid=8321467&page=1

呵呵,猫叔的方法太有效果了,但我选择的是直接删除....今天又帮个MM处理了个病毒,也是IEFO劫持,那个家伙还把运行重定向了,指向征途网站,这个重定向问题怎么解决呢?

猫叔,一定要告诉我怎么解决啊!~