批处理清除最新病毒Word文档格式.docx

资源描述

批处理清除最新病毒Word文档格式.docx

《批处理清除最新病毒Word文档格式.docx》由会员分享，可在线阅读，更多相关《批处理清除最新病毒Word文档格式.docx（16页珍藏版）》请在冰豆网上搜索。

批处理清除最新病毒Word文档格式.docx

其它各分区根目录下建立一个autorun.inf文件和.exe文件

autorun.inf文件里的内容为

[AutoRun]

open=同目录下的那个隐藏的exe文件名

shell\open=打开（^&

amp;

O）

shell\open\Command=同目录下的那个隐藏的exe文件名

shell\open\Default=1

shell\explore=资源管理器（^&

X）

shell\explore\Command=同目录下的那个隐藏的exe文件名

如果你的情况跟我这里描述的符合的话，那么你可以把下面的红色代码复制下来，

另存为.bat后缀的文件（即批处理），然后双击运行保存的批处理就可以了。

注意：

请把批处理放在桌面上运行，否则可能无法完全清除病毒。

并且在运行批处理时，请按提示来操作，请仔细看界面上的提示，否则如果

出现错误，导致文件误删，责任自负。

另外，这个批处理是针对windowsxp企业版的用户的，如果你的是xp家用版

的话，那请去别人的电脑上把c:

\WINDOWS\system32\taskkill.exe这个文件复制

到你的电脑上的c:

\WINDOWS\system32\目录下，否则该批处理无法正常运行。

如果有什么问题的话，请在我空间里留言。

@echooff

title忆林子---清除最新病毒

color0a

echo▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓

echo.

echo正在检测病毒信息,请稍候...

ifexist*.忆林子del*.忆林子

dir"

\ProgramFiles\*.*"

/b/a|find"

.inf"

test1.忆林子

.exe"

test2.忆林子

\ProgramFiles\CommonFiles\MicrosoftShared\*.*"

test3.忆林子

\ProgramFiles\CommonFiles\System\*.*"

test4.忆林子

for/D%%din（c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z）do（

ifexist%%d:

dir"

%%d:

\*.*"

/b/ah|find"

test5.忆林子

test6.忆林子

）

for/f"

tokens=*delims="

%%hin（'

moretest1.忆林子'

）dosettest1=%%h

%%iin（'

moretest2.忆林子'

）dosettest2=%%i

%%jin（'

moretest3.忆林子'

）dosettest3=%%j

%%kin（'

moretest4.忆林子'

）dosettest4=%%k

%%lin（'

moretest5.忆林子'

）dosettest5=%%l

%%min（'

moretest6.忆林子'

）dosettest6=%%m

del*.忆林子/q

cls

echo该病毒资料

echo该病毒建立的包括的源文件如下:

echo病毒文件全路径大小（字节）

echoC:

\ProgramFiles\%test1%169

\ProgramFiles\%test2%28,863

echoc:

\ProgramFiles\CommonFiles\MicrosoftShared\%test3%28,863

\ProgramFiles\CommonFiles\System\%test4%28,863

echo其它所有分区:

\%test5%169

\%test6%28,863

echo%test5%和%test1%文件里的内容

echo[AutoRun]

echoopen=%test6%

echoshell\open=打开（^&

echoshell\open\Command=%test6%

echoshell\open\Default=1

echoshell\explore=资源管理器（^&

echoshell\explore\Command=%test6%

echo该病毒的后果:

echo你的杀毒软件会无法打开,另外只要你的文件名中如果是"

病毒"

杀毒"

瑞星"

等和病毒.

echo有关的字眼时,你这个文件打开之后会马上被关闭.网页中一搜索这些字眼也会马上关闭.

echo可能还有其它的情况,我这里就不详细说明了.

echo注意：

因为该病毒与exeplorer.exe关联，所以在杀毒时，你的桌面

echo会出现暂时只剩背景图片，那时请不要结束该程序，让它继续运行。

echo到该程序运行结束之后，会自然显示出桌面的。

echo注意:

如果上面的病毒文件名没有显示出来的话,说明你的电脑里没有类似病毒,

echo请直接关闭该程序,退出即可,否则,你的电脑里的一些文件可能会被误删。

set/ptmp=以上是该病毒的信息，如果要清除该病毒，请回车键开始杀毒...

rem结束病毒进程

for%%din（%test2%,%test3%,%test4%,%test6%）dotaskkill/im%%d/f

rem去除病毒源文件的系统、隐藏、只读属性,然后删除它们。

for%%din（%test1%,%test2%）doifexist"

\ProgramFiles\%%d"

attrib-s-h-r"

del"

ifexist"

\ProgramFiles\CommonFiles\MicrosoftShared\%test3%"

\ProgramFiles\CommonFiles\System\%test4%"

for%%fin（%test5%,%test6%）dofor/D%%din（c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z）doifexist%%d:

\%%fattrib-s-h-r%%d:

\%%f

\%%fdel%%d:

\%%f/q

rem删除病毒的启动项

regdelete"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"

/vbjifays/f

/vhsomklg/f

regadd"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL"

/vCheckedValue/d1/f

rem恢复进入安全模式屏幕

HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}"

/ve/dDiskDrive/f

HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}"

HKLM\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}"

HKLM\SYSTEM\ControlSet003\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}"

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}"

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}"

rem删除病毒在注册表中添加的关联

ifexisttest.忆林子deltest.忆林子

regquery"

HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions"

test.忆林子

tokens=*delims=skip=4"

%%jin（test.忆林子）do（

regdelete"

%%j"

/vdebugger/f

cls

ifexisttest.忆林子deltest.忆林子

echo▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓

echo.

echo正在清除由病毒添加的注册表项,请稍候...

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft^\WindowsNT\CurrentVersion\ImageFileExecutionOptions\YourImageFileNameHerewithoutapath"

/vDebugger/d"

ntsd-d"

echo▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓

echo病毒清除完毕，按回车键开始解决分区无法双击打开的问题.

echo所有操作完毕之后，请重装杀毒软件，否则你的杀毒软件还是

echo无法正常使用。

set/ptest=

title忆林子--解决分区无法打开

echo例如：

D盘无法打开则输入d,你也可以

echo输入d,e,f这样来同时对d,e,f等多个分区操作.

set/pinput=[请输入无法打开的分区的盘符]

if/i"

%input%"

=="

goto:

特殊

for/d%%iin（%input%）docacls%%i:

\%test5%/c/e/peveryone:

for/d%%iin（%input%）doattrib-s-h-r%%i:

\%test5%

for/d%%iin（%input%）dodel%%i:

\%test5%/q

/vCheckedValue/f

/vCheckedValue/treg_dword/d1/f

for/d%%iin（%input%）dochkdsk%%i:

/f/x

echo操作结束,按回车键退出该程序...

set/ptmp=

exit

exit:

attrib-s-h-r%input%:

del%input%:

echo操作成功结束，请重启，然后就可以双击就可以打开了。

echo如果重启之后，还是无法双击打开的话，说明你的电脑

echo里还有病毒，请先杀毒。

然后再运行该程序。

set/ptmp=操作结束，按回车键退出该程序。

下面是另一个版本的代码

进安全模式蓝屏，杀毒软件无法打开,打开有跟病毒有关的窗口会关闭,网上搜索病毒资料会关闭。

你只要把下面的代码复制下来,另存为.bat为后缀的文件，也就是批处理文件，然后双击运行就可以了.,

title忆林子

（4E8F8D4C这个文件名是这个病毒随机生成的,

echo但是不管它的名字是怎样,大小都一样）

\windows\4E8F8D4C.hlp44（左右）

\WINDOWS\Help\4E8F8D4C.chm36,659（左右）

\DocumentsandSettings\Admin\LocalSettings\Temp\4E8F8D4C.exe36,659（左右）

\ProgramFiles\CommonFiles\MicrosoftShared\MSInfo\4E8F8D4C.dll47,923（左右）

\ProgramFiles\CommonFiles\MicrosoftShared\MSInfo\4E8F8D4C.dat36,659（左右）

\autorun.inf172（左右）

\4E8F8D4C.exe36,659（左右）

echoautorun.inf文件里的内容

echoopen=4e8f8d4c.exe

echoshell\open\Command=4e8f8d4c.exe

echoshell\explore\Command=4e8f8d4c.exe

deltmp.忆林子

\ProgramFiles\CommonFiles\MicrosoftShared\MSInfo"

/b/ah>

tmp.忆林子

tokens=1"

moretmp.忆林子'

）docall:

getFileName%%j

killSpy

deltmp.忆林子/q

taskkill/fi"

moduleseq%fileName%.dll"

ATTRIB-S-H-Rc:

\windows\%fileName%.hlp

\windows\%fileName%.chm

\windows\help\%fileName%.chm

ATTRIB-S-H-R"

\ProgramFiles\CommonFiles\MicrosoftShared\MSInfo\%fileName%.dat"

\ProgramFiles\CommonFiles\MicrosoftShared\MSInfo\%fileName%.dll"

\ProgramFiles\CommonFiles\MicrosoftShared\MSInfo\%fileName%.exe"

delc:

\windows\%fileName%.hlp/q

\windows\%fileName%.chm/q

\windows\help\%fileName%.chm/q

del"

setRegDeleteIFEO=regdelete"

HKLM\SOFTWARE\Microsoft\Windo

展开阅读全文