批处理清除最新病毒Word文档格式.docx
《批处理清除最新病毒Word文档格式.docx》由会员分享,可在线阅读,更多相关《批处理清除最新病毒Word文档格式.docx(16页珍藏版)》请在冰豆网上搜索。
其它各分区根目录下建立一个autorun.inf文件和.exe文件
autorun.inf文件里的内容为
[AutoRun]
open=同目录下的那个隐藏的exe文件名
shell\open=打开(^&
amp;
O)
shell\open\Command=同目录下的那个隐藏的exe文件名
shell\open\Default=1
shell\explore=资源管理器(^&
X)
shell\explore\Command=同目录下的那个隐藏的exe文件名
如果你的情况跟我这里描述的符合的话,那么你可以把下面的红色代码复制下来,
另存为.bat后缀的文件(即批处理),然后双击运行保存的批处理就可以了。
注意:
请把批处理放在桌面上运行,否则可能无法完全清除病毒。
并且在运行批处理时,请按提示来操作,请仔细看界面上的提示,否则如果
出现错误,导致文件误删,责任自负。
另外,这个批处理是针对windowsxp企业版的用户的,如果你的是xp家用版
的话,那请去别人的电脑上把c:
\WINDOWS\system32\taskkill.exe这个文件复制
到你的电脑上的c:
\WINDOWS\system32\目录下,否则该批处理无法正常运行。
如果有什么问题的话,请在我空间里留言。
@echooff
title忆林子---清除最新病毒
color0a
echo▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
echo.
echo正在检测病毒信息,请稍候...
ifexist*.忆林子del*.忆林子
dir"
\ProgramFiles\*.*"
/b/a|find"
.inf"
>
test1.忆林子
.exe"
test2.忆林子
\ProgramFiles\CommonFiles\MicrosoftShared\*.*"
test3.忆林子
\ProgramFiles\CommonFiles\System\*.*"
test4.忆林子
for/D%%din(c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z)do(
ifexist%%d:
dir"
%%d:
\*.*"
/b/ah|find"
test5.忆林子
test6.忆林子
)
for/f"
tokens=*delims="
%%hin('
moretest1.忆林子'
)dosettest1=%%h
%%iin('
moretest2.忆林子'
)dosettest2=%%i
%%jin('
moretest3.忆林子'
)dosettest3=%%j
%%kin('
moretest4.忆林子'
)dosettest4=%%k
%%lin('
moretest5.忆林子'
)dosettest5=%%l
%%min('
moretest6.忆林子'
)dosettest6=%%m
del*.忆林子/q
cls
echo该病毒资料
echo该病毒建立的包括的源文件如下:
echo病毒文件全路径大小(字节)
echoC:
\ProgramFiles\%test1%169
\ProgramFiles\%test2%28,863
echoc:
\ProgramFiles\CommonFiles\MicrosoftShared\%test3%28,863
\ProgramFiles\CommonFiles\System\%test4%28,863
echo其它所有分区:
\%test5%169
\%test6%28,863
echo%test5%和%test1%文件里的内容
echo[AutoRun]
echoopen=%test6%
echoshell\open=打开(^&
echoshell\open\Command=%test6%
echoshell\open\Default=1
echoshell\explore=资源管理器(^&
echoshell\explore\Command=%test6%
echo该病毒的后果:
echo你的杀毒软件会无法打开,另外只要你的文件名中如果是"
病毒"
"
杀毒"
瑞星"
等和病毒.
echo有关的字眼时,你这个文件打开之后会马上被关闭.网页中一搜索这些字眼也会马上关闭.
echo可能还有其它的情况,我这里就不详细说明了.
echo注意:
因为该病毒与exeplorer.exe关联,所以在杀毒时,你的桌面
echo会出现暂时只剩背景图片,那时请不要结束该程序,让它继续运行。
echo到该程序运行结束之后,会自然显示出桌面的。
echo注意:
如果上面的病毒文件名没有显示出来的话,说明你的电脑里没有类似病毒,
echo请直接关闭该程序,退出即可,否则,你的电脑里的一些文件可能会被误删。
set/ptmp=以上是该病毒的信息,如果要清除该病毒,请回车键开始杀毒...
rem结束病毒进程
for%%din(%test2%,%test3%,%test4%,%test6%)dotaskkill/im%%d/f
rem去除病毒源文件的系统、隐藏、只读属性,然后删除它们。
for%%din(%test1%,%test2%)doifexist"
\ProgramFiles\%%d"
attrib-s-h-r"
del"
/q
ifexist"
\ProgramFiles\CommonFiles\MicrosoftShared\%test3%"
\ProgramFiles\CommonFiles\System\%test4%"
for%%fin(%test5%,%test6%)dofor/D%%din(c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z)doifexist%%d:
\%%fattrib-s-h-r%%d:
\%%f
\%%fdel%%d:
\%%f/q
rem删除病毒的启动项
regdelete"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
/vbjifays/f
/vhsomklg/f
regadd"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL"
/vCheckedValue/d1/f
rem恢复进入安全模式屏幕
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}"
/ve/dDiskDrive/f
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}"
HKLM\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}"
HKLM\SYSTEM\ControlSet003\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}"
rem删除病毒在注册表中添加的关联
ifexisttest.忆林子deltest.忆林子
regquery"
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions"
test.忆林子
tokens=*delims=skip=4"
%%jin(test.忆林子)do(
regdelete"
%%j"
/vdebugger/f
cls
ifexisttest.忆林子deltest.忆林子
echo▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
echo.
echo正在清除由病毒添加的注册表项,请稍候...
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft^\WindowsNT\CurrentVersion\ImageFileExecutionOptions\YourImageFileNameHerewithoutapath"
/vDebugger/d"
ntsd-d"
/f
echo▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
echo病毒清除完毕,按回车键开始解决分区无法双击打开的问题.
echo所有操作完毕之后,请重装杀毒软件,否则你的杀毒软件还是
echo无法正常使用。
set/ptest=
title忆林子--解决分区无法打开
echo例如:
D盘无法打开则输入d,你也可以
echo输入d,e,f这样来同时对d,e,f等多个分区操作.
set/pinput=[请输入无法打开的分区的盘符]
if/i"
%input%"
=="
c"
goto:
特殊
for/d%%iin(%input%)docacls%%i:
\%test5%/c/e/peveryone:
f
for/d%%iin(%input%)doattrib-s-h-r%%i:
\%test5%
for/d%%iin(%input%)dodel%%i:
\%test5%/q
/vCheckedValue/f
/vCheckedValue/treg_dword/d1/f
for/d%%iin(%input%)dochkdsk%%i:
/f/x
echo操作结束,按回车键退出该程序...
set/ptmp=
:
exit
exit:
attrib-s-h-r%input%:
del%input%:
echo操作成功结束,请重启,然后就可以双击就可以打开了。
echo如果重启之后,还是无法双击打开的话,说明你的电脑
echo里还有病毒,请先杀毒。
然后再运行该程序。
set/ptmp=操作结束,按回车键退出该程序。
下面是另一个版本的代码
进安全模式蓝屏,杀毒软件无法打开,打开有跟病毒有关的窗口会关闭,网上搜索病毒资料会关闭。
你只要把下面的代码复制下来,另存为.bat为后缀的文件,也就是批处理文件,然后双击运行就可以了.,
title忆林子
(4E8F8D4C这个文件名是这个病毒随机生成的,
echo但是不管它的名字是怎样,大小都一样)
\windows\4E8F8D4C.hlp44(左右)
\WINDOWS\Help\4E8F8D4C.chm36,659(左右)
\DocumentsandSettings\Admin\LocalSettings\Temp\4E8F8D4C.exe36,659(左右)
\ProgramFiles\CommonFiles\MicrosoftShared\MSInfo\4E8F8D4C.dll47,923(左右)
\ProgramFiles\CommonFiles\MicrosoftShared\MSInfo\4E8F8D4C.dat36,659(左右)
\autorun.inf172(左右)
\4E8F8D4C.exe36,659(左右)
echoautorun.inf文件里的内容
echoopen=4e8f8d4c.exe
echoshell\open\Command=4e8f8d4c.exe
echoshell\explore\Command=4e8f8d4c.exe
deltmp.忆林子
\ProgramFiles\CommonFiles\MicrosoftShared\MSInfo"
/b/ah>
tmp.忆林子
tokens=1"
moretmp.忆林子'
)docall:
getFileName%%j
killSpy
deltmp.忆林子/q
taskkill/fi"
moduleseq%fileName%.dll"
ATTRIB-S-H-Rc:
\windows\%fileName%.hlp
\windows\%fileName%.chm
\windows\help\%fileName%.chm
ATTRIB-S-H-R"
\ProgramFiles\CommonFiles\MicrosoftShared\MSInfo\%fileName%.dat"
\ProgramFiles\CommonFiles\MicrosoftShared\MSInfo\%fileName%.dll"
\ProgramFiles\CommonFiles\MicrosoftShared\MSInfo\%fileName%.exe"
delc:
\windows\%fileName%.hlp/q
\windows\%fileName%.chm/q
\windows\help\%fileName%.chm/q
del"
setRegDeleteIFEO=regdelete"
HKLM\SOFTWARE\Microsoft\Windo