关于8位随机字母数字病毒.EXE--IEFO劫持--专杀工具

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛关于8位随机字母数字病毒.EXE--IEFO劫持--专杀工具

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1 / 1 页

跳转页

关于8位随机字母数字病毒.EXE--IEFO劫持--专杀工具

逍遥浪子45 自信弱冠狮帖子:329 注册: 2006-09-25 来自:	发表于： 2007-06-09 18:44 \| 显示全部短消息资料字号：小中大 1楼关于8位随机字母数字病毒.EXE--IEFO劫持--专杀工具前提,需要用到工具冰刃--先把冰刃重命名为任意.EXE,接着禁止进程创建,然后再使用下面的BAT处理, 请复制下面代码到记事本,保存为任意名.BAT文件运行,如果被禁止运行,建议先把里面的杀毒,病毒字样去掉后再重试,那个病毒会自动关闭杀,毒字样的程序运行. :KILL @echo off color A cls title 随机8位数字字母专杀程序--by 逍遥@浪子@ @echo ********************************************************** @echo # # @echo #　　　　　欢迎使用随机8位数字字母专杀程序 # @echo # # @echo # 对付病毒,决不留情! by 逍遥@浪子@ # @echo # # @echo ******************************************************** :xianshi @ECHO Windows Registry Editor Version 5.00>SHOWALL.reg @ECHO [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]>>SHOWALL.reg @ECHO "CheckedValue"=->>SHOWALL.reg @ECHO [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]>>SHOWALL.reg @ECHO "CheckedValue"=dword:00000001>>SHOWALL.reg @REGEDIT /S SHOWALL.reg @DEL /F /Q SHOWALL.reg @echo ******************************************************* @echo # 显示所有文件完毕！ # @echo # # @echo # 按任意键继续 # @echo ******************************************************* @pause>nul 2>nul goto jiesuo :jiesuo @cls @echo Windows Registry Editor Version 5.00 >jiesuo.reg @echo [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]>>jiesuo.reg @echo "DisableRegistryTools"=dword:00000000>>jiesuo.reg @regedit /s jiesuo.reg @del /F /Q jiesuo.reg @echo ******************************************************* @echo # 解锁注册表完毕！ # @echo # # @echo # 按任意键继续 # @echo ******************************************************* @pause>nul 2>nul GOTO ZD :zd @cls @echo Windows Registry Editor Version 5.00 >%systemroot%\autorun.reg @echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]>>%systemroot%\autorun.reg @echo "NoDriveTypeAutoRun"=dword:000000ff>>%systemroot%\autorun.reg @regedit /s %systemroot%\autorun.reg @del /F /Q %systemroot%\autorun.reg @cls @echo ******************************************************* @echo # # @echo # 关闭所有驱动器自动播放完毕！ # @echo # # @echo # 请按任意键继续 # @echo ******************************************************* @pause>nul 2>nul @GOTO qdyh :qdyh @cls @echo ************************************************************ @echo # 　去掉可疑启动前面的勾，建议只保留两个启动项; 一个是"输入法" # @echo # # @echo # 另一个是"杀毒软件实时监控"(如果还装了防火墙,也请保留). # @echo # # @echo # ★ 下面是常见的启动项名: 　 # @echo # # @echo # 卡巴斯基==kav 　　瑞星==RavTask 　　金山==KAVStart # @echo # # @echo # 江民==KV 　　　输入法==ctfmon 天网==pfw.exe # @echo # # @echo ************************************************************ @start "" msconfig.exe @echo 按任意键继续　 @pause>nul 2>nul @GOTO　DEL :DEL @CLS reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options /f >nul 2>nul FOR %%a IN ( C: D: E: F: G: H: I: J: K: L: M: N: O: P: Q: R: S: T: U: V: W: X: Y: Z: ) set /p UserSelection=请输入要删除的病毒文件 ATTRIB -R -H -S -A %%a "%UserSelection%" del /F /Q /A %%a "%UserSelection%" @echo. @echo 已经成功删除了该病毒文件！ @echo. @echo 1：接着删除病毒文件 2：退出本程序 @echo. @set /p UserSelection=输入您的选择（1、2 ） @if "%UserSelection%"=="1" goto del @if "%UserSelection%"=="2" goto EXIT goto del :EXIT CLS @echo ******************************************************* @echo # 查杀病毒完毕！　# @echo # # @echo # 按任意键退出 # @echo ********************************************************* @pause>nul 2>nul GOTO EBD 2007-06-10 08:11:23
逍遥浪子45 自信弱冠狮帖子:329 注册: 2006-09-25 来自:	分享到：

逍遥浪子45 自信弱冠狮帖子:329 注册: 2006-09-25 来自:	发表于： 2007-06-09 18:47 \| 显示全部短消息资料字号：小中大 2楼相关处理方法见 http://forum.ikaka.com/topic.asp?board=28&artid=8321467&page=1
逍遥浪子45 自信弱冠狮帖子:329 注册: 2006-09-25 来自:

自信弱冠狮

帖子:329
注册: 2006-09-25
来自:

发表于： 2007-06-09 19:32 | 显示全部 短消息资料

字号：小中大 3楼

引用:

【baohe的贴子】
一个问题:
现在新出的变种,即使改名运行了IS,病毒迅速将IS窗口最小化.
基本不能做任何操作.
………………

呵呵,猫叔,那个可以用冰刃的参数调出隐藏的冰刃窗口吧?

以下是PJF大哥的话:

如何退出IceSword：直接关闭，若你要防止进程被结束时，需要以命令行形式输入：IceSword.exe /c，此时需要Ctrl+Alt+D才能关闭（使用三键前先按一下任意键）。
如果最小化到托盘时托盘图标又消失了：此时可以使用Ctrl+Alt+S将IceSword主界面唤出。因为偷懒没有重绘图标，将就用吧^_^。

4楼的朋友是江民的吧,呵呵,冰刃确实是PJF大哥的强力工具,但不是万能的哈,话不能说的太满,这个PJF大哥也曾经说过.具体可以找下我博客的PJF大哥博客连接!~

逍遥浪子45 自信弱冠狮帖子:329 注册: 2006-09-25 来自:	发表于： 2007-06-10 08:21 \| 显示全部短消息资料字号：小中大 4楼如果是这样的话,那么是需要改进批处理,由于病毒是随机的,让人把病毒文件名字先定义到配置文件中,用批处理调用配置文件,关于开机自己启动杀死病毒,可以做到,用AT命令或者是注册为系统服务,或者是搞个把自己添加到开机启动文件夹里,或者是弄个注册表启动,都可以实现... 现在的问题是,如果病毒先加载,那么进程运行后该如何杀那家伙本体?这个批处理无法实现的,那个参数不知道怎么写,如何可以禁止进程创建,要是批处理能实现,就不用冰刃了. 说到底,猫叔说的最有道理,关键是防御,批处理只能实现防毒,不能实现杀毒的,毕竟最多也就能做个专杀,对变种就没办法了,灵动性太差. 不过,那个8位随机病毒确实很好处理来着,一般远程帮人弄下就好了... :DEL @CLS reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options /f >nul 2>nul 这句就是删除掉IEFO劫持的.......... 删除完后,我看干脆禁止使用注册表,那么就不会中那家伙了... 禁止使用注册表 @reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableRegistryTools /t reg_dword /d 00000001 /f 当以后要用的时候在解注册表.. @reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableRegistryTools /t reg_dword /d 00000000 /f start regedit 以上代码都需保存为.BAT批处理文件脚本..
逍遥浪子45 自信弱冠狮帖子:329 注册: 2006-09-25 来自:

<<上一主题|下一主题>>

1 / 1 页

跳转页

逍遥浪子45 自信弱冠狮帖子:329 注册: 2006-09-25 来自:	发表于： 2007-06-09 18:44 \| 显示全部短消息资料字号：小中大 1楼关于8位随机字母数字病毒.EXE--IEFO劫持--专杀工具前提,需要用到工具冰刃--先把冰刃重命名为任意.EXE,接着禁止进程创建,然后再使用下面的BAT处理, 请复制下面代码到记事本,保存为任意名.BAT文件运行,如果被禁止运行,建议先把里面的杀毒,病毒字样去掉后再重试,那个病毒会自动关闭杀,毒字样的程序运行. :KILL @echo off color A cls title 随机8位数字字母专杀程序--by 逍遥@浪子@ @echo ********************************************************** @echo # # @echo #　　　　　欢迎使用随机8位数字字母专杀程序 # @echo # # @echo # 对付病毒,决不留情! by 逍遥@浪子@ # @echo # # @echo ******************************************************** :xianshi @ECHO Windows Registry Editor Version 5.00>SHOWALL.reg @ECHO [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]>>SHOWALL.reg @ECHO "CheckedValue"=->>SHOWALL.reg @ECHO [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]>>SHOWALL.reg @ECHO "CheckedValue"=dword:00000001>>SHOWALL.reg @REGEDIT /S SHOWALL.reg @DEL /F /Q SHOWALL.reg @echo ******************************************************* @echo # 显示所有文件完毕！ # @echo # # @echo # 按任意键继续 # @echo ******************************************************* @pause>nul 2>nul goto jiesuo :jiesuo @cls @echo Windows Registry Editor Version 5.00 >jiesuo.reg @echo [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]>>jiesuo.reg @echo "DisableRegistryTools"=dword:00000000>>jiesuo.reg @regedit /s jiesuo.reg @del /F /Q jiesuo.reg @echo ******************************************************* @echo # 解锁注册表完毕！ # @echo # # @echo # 按任意键继续 # @echo ******************************************************* @pause>nul 2>nul GOTO ZD :zd @cls @echo Windows Registry Editor Version 5.00 >%systemroot%\autorun.reg @echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]>>%systemroot%\autorun.reg @echo "NoDriveTypeAutoRun"=dword:000000ff>>%systemroot%\autorun.reg @regedit /s %systemroot%\autorun.reg @del /F /Q %systemroot%\autorun.reg @cls @echo ******************************************************* @echo # # @echo # 关闭所有驱动器自动播放完毕！ # @echo # # @echo # 请按任意键继续 # @echo ******************************************************* @pause>nul 2>nul @GOTO qdyh :qdyh @cls @echo ************************************************************ @echo # 　去掉可疑启动前面的勾，建议只保留两个启动项; 一个是"输入法" # @echo # # @echo # 另一个是"杀毒软件实时监控"(如果还装了防火墙,也请保留). # @echo # # @echo # ★ 下面是常见的启动项名: 　 # @echo # # @echo # 卡巴斯基==kav 　　瑞星==RavTask 　　金山==KAVStart # @echo # # @echo # 江民==KV 　　　输入法==ctfmon 天网==pfw.exe # @echo # # @echo ************************************************************ @start "" msconfig.exe @echo 按任意键继续　 @pause>nul 2>nul @GOTO　DEL :DEL @CLS reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options /f >nul 2>nul FOR %%a IN ( C: D: E: F: G: H: I: J: K: L: M: N: O: P: Q: R: S: T: U: V: W: X: Y: Z: ) set /p UserSelection=请输入要删除的病毒文件 ATTRIB -R -H -S -A %%a "%UserSelection%" del /F /Q /A %%a "%UserSelection%" @echo. @echo 已经成功删除了该病毒文件！ @echo. @echo 1：接着删除病毒文件 2：退出本程序 @echo. @set /p UserSelection=输入您的选择（1、2 ） @if "%UserSelection%"=="1" goto del @if "%UserSelection%"=="2" goto EXIT goto del :EXIT CLS @echo ******************************************************* @echo # 查杀病毒完毕！　# @echo # # @echo # 按任意键退出 # @echo ********************************************************* @pause>nul 2>nul GOTO EBD 2007-06-10 08:11:23
逍遥浪子45 自信弱冠狮帖子:329 注册: 2006-09-25 来自:	分享到：

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 关于8位随机字母数字病毒.EXE--IEFO劫持--专杀工具

关于8位随机字母数字病毒.EXE--IEFO劫持--专杀工具

关于8位随机字母数字病毒.EXE--IEFO劫持--专杀工具

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛关于8位随机字母数字病毒.EXE--IEFO劫持--专杀工具