设为首页收藏本站
切换到宽版

 找回密码
 注册
搜索
批处理之家»论坛 批处理专区: BAT CMD DOS BAT原创&转载 BAT转载代码 Virus.Win32.Tc.bat 恶意病毒专杀处理方案
[新手上路]批处理新手入门导读[视频教程]批处理基础视频教程[视频教程]VBS基础视频教程[批处理精品]批处理版照片整理器
[批处理精品]纯批处理备份&还原驱动[批处理精品]CMD命令50条不能说的秘密[在线下载]第三方命令行工具[在线帮助]VBScript / JScript 在线参考
返回列表 发新帖
查看: 12620|回复: 0

Virus.Win32.Tc.bat 恶意病毒专杀处理方案

[复制链接]
HAT
发表于 2010-9-14 23:05:39 | 显示全部楼层 |阅读模式
去年中的一个病毒,如今仍阴魂不散,专杀是没有了,网上搜索倒是一大堆问号


本病毒大致有几个比较明显特点(注,仅限去年传播的版本):

1. 采用dll替换方式,直接注入svchost.exe运行,迅速破坏系统众多服务,重启无效,这一行为相当恶劣,其中bits服务肯定是首当其冲的

2. 迅速感染全盘所有exe/html之类可执行文件,不停调用rar.exe感染压缩包内文件,这一行径过于卑鄙,让人损失巨大,利用常人心态是一件很可怕的事,你是常人吗?

3. 不停利用svchost.exe后台加载ie下载大量木马,进一步破坏系统,你就找不着iexplore.exe进程在哪里

4. 直接利用IFEO破坏杀软,直接删除safeboot造成安全模式蓝屏,甭想着一着毒就杀软,安全模式了,压根没用

5. 到如今仍没有专杀工具,杀毒软件对压缩包查杀能力太差,被破坏的exe程序无法再修复


可惜很多压缩包,很多资料资料未处理,杀软对压缩包和特殊处理文件过于软弱,更谈不上修复了

重要是穷得可怜,整盘的资料没地方搁,为求性能,杀软又不会装:)

还好,每次凭感觉,三下五除二,马上消灭隐藏的火星,可是呢,待到何年月才会翻完这么多的资料呢

废话扯多了,只求仁者仁、智者智,高出几个高手,指点下江下,给出一个专业级的查杀和修复工具,天下福音了

以下是自己的脚本:Virus.Win32.Tc.bat 恶意病毒专杀处理方案(仅作自己手杀的辅助工具,注意看清楚了适用条件,可能你会因此而想到很多哦)
  1. @echo off
  2. title Virus.Win32.Tc专杀
  3. color 2f
  4. ::mode con cols=110 lines=40
  5. echo -----------------------------------------------------------------------------
  6. echo 名称:Virus.Win32.Tc.bat 恶意病毒专杀处理方案
  7. echo.
  8. echo 作者:Just4/CSDN
  9. echo.
  10. echo 日期:2010.09.03
  11. echo ----------------------------------------------------------------------------
  12. :: 说明:Virus.Win32.Tc、Type_Win32、Virus.Win32.Parite.b 一大堆关联名字
  13. ::
  14. :: 病毒特点:
  15. ::
  16. :: 1. 采用dll替换方式,直接注入svchost.exe运行,迅速破坏系统众多服务,重启无效,这一点行为相当恶劣
  17. ::
  18. :: 2. 迅速全盘感染所有exe等文件,不停调用rar.exe感染压缩包内文件,这一点行径过于卑鄙,让人损失巨大
  19. ::
  20. :: 3. 不停利用svchost.exe后台加载ie下载大量木马,进一步破坏系统
  21. ::
  22. :: 4. 直接利用IFEO破坏杀软,直接删除Safeboot造成安全模式蓝屏
  23. ::
  24. :: 5. 到如今仍没有专杀工具,杀毒软件对压缩包查杀能力太差,被破坏的exe程序无法再修复
  25. ::
  26. :: 注意:本脚本并不清理启动项、木马和垃圾,并不修复exe/rar等被感染文件
  27. ::
  28. ::       仅适于Win2k3平台,手工升级SP2补丁,否则修复无效,错误信息是为手工查杀作准备的
  29. ::
  30. ::       希望有高手朋友能给出一个像样的专杀方案,多谢:)
  31. :: ----------------------------------------------------------------------------

  33. echo 按任意键开始查杀病毒......
  34. ping 127.1 -n 2 >nul 2>&1
  35. pause>nul
  36. cls
  37. echo ## 开始查杀病毒!!!
  38. echo.
  39. echo #1.先杀掉依赖进程svchost.exe
  40. echo #  以lanmanserver/netman/wzcsvc/audiosrv/w32time等为特征
  41. rem tasklist /m srvsvc.dll
  42. for /f "skip=2 tokens=1,2" %%i in ('tasklist /m srvsvc.dll') do if "%%i"=="svchost.exe" taskkill /pid %%j /f /t

  44. echo.
  45. echo #2.再杀掉木马后台下载进程iexplore.exe(实为svchost.exe加载)
  46. echo #  最好及时断网处理
  47. taskkill /im iexplore.exe /f /t

  49. echo.
  50. echo #3.删除IFEO限制
  51. reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options" /f

  53. echo.
  54. echo #4.修复Safeboot蓝屏,需有Safeboot.reg备份
  55. rem reg import safeboot.reg

  57. echo.
  58. echo #5.删除病毒传播体lsasvc.dll
  59. if not exist "%systemroot%\system32\lsasvc.dll\" (
  60.   del %systemroot%\system32\lsasvc.dll /s /f
  61.   md  %systemroot%\system32\lsasvc.dll\test..\
  62.   attrib %systemroot%\system32\lsasvc.dll +s +h +r
  63.   echo y|cacls %systemroot%\system32\lsasvc.dll /d everyone
  64. )

  66. echo.
  67. echo #6.删除感染程序释放的病毒体backup.exe
  68. if not exist "%temp%\backup.exe\" (
  69.   del "%temp%\backup.exe" /f /a
  70.   md "%temp%\backup.exe\test..\"
  71.   attrib "%temp%\backup.exe\test..\" +s +h +r
  72.   echo y|cacls "%temp%\backup.exe" /d everyone
  73. )

  75. echo.
  76. echo #7.删除回收站隐藏病毒体~df*.exe
  77. del %sysdrive%\recycler\*.exe /s /f /a

  79. echo.
  80. echo #8.删除rar.exe以避免压缩文档损失
  81. if not exist "%programfiles%\winrar\rar.exe\" (
  82.   del "%programfiles%\winrar\rar.exe" /f
  83.   md "%programfiles%\winrar\rar.exe\test..\"
  84.   attrib "%programfiles%\winrar\rar.exe" +r +s +h
  85.   echo y|cacls "%programfiles%\winrar\rar.exe" /d everyone
  86. )

  88. echo.
  89. echo #9.删除系统目录下的隐藏病毒文件,并不删除其它目录下病毒文件
  90. del %systemroot%\system32\*.exe /s /ah /f
  91. del %systemroot%\system32\*.dll /s /ah /f
  92. del %systemroot%\system32\*.sys /s /ah /f
  93. del %systemroot%\system32\*.fon /s /ah /f
  94. del %systemroot%\system32\*.

  96. echo.
  97. echo -----------------------------------------------------------------------------
  98. echo ## 开始修复被替换的系统服务项,需有补丁备份,需重启修复启动类型
  99. ping 127.1 -n 2 >nul 2>&1

  101. echo.
  102. echo # 修复后台更新服务Bits --^> qmgr.dll
  103. del %systemroot%\system32\qmgr.dll /s /f /a
  104. copy %systemroot%\ServicePackFiles\i386\qmgr.dll %systemroot%\system32\qmgr.dll /y
  105. sc config bits start= disabled

  107. echo.
  108. echo # 修复远程注册表服务Regsvc --^> regsvc.dll
  109. del %systemroot%\system32\regsvc.dll /s /f /a
  110. copy %systemroot%\ServicePackFiles\i386\regsvc.dll %systemroot%\system32\regsvc.dll /y
  111. sc config regsvc start= disabled

  113. echo.
  114. echo # 修复计划任务服务Schedule --^> schedsvc.dll
  115. del %systemroot%\system32\schedsvc.dll /s /f /a
  116. copy %systemroot%\ServicePackFiles\i386\schedsvc.dll %systemroot%\system32\ /y
  117. sc config schedule start= disabled

  119. echo.
  120. echo # 修复帮助和支持服务Helpsvc --^> pchsvc.dll
  121. del %systemroot%\system32\pchsvc.dll /s /f /a
  122. reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Helpsvc\parameters" /v ServiceDll /t reg_expand_sz /d "%WINDIR%\PCHealth\HelpCtr\Binaries\pchsvc.dll" /f

  124. echo.
  125. echo # 修复管理Xml配置文件服务Xmlporv --^> xmlprov.dll
  126. del %systemroot%\system32\xmlprov.dll /s /f
  127. copy %systemroot%\ServicePackFiles\i386\xmlprov.dll %systemroot%\system32\ /y
  128. sc config xmlprov start= disabled

  130. echo.
  131. echo # 修复便携的媒体序号服务WmDmPmSn --^> mspmsnsv.dll
  132. del %systemroot%\system32\mspmsnsv.dll /s /f
  133. copy %systemroot%\ServicePackFiles\i386\mspmsnsv.dll %systemroot%\system32\ /y
  134. sc config wmdmpmsn start= disabled

  136. echo.
  137. echo # 直接删除可移动存储管理程序Ntmssvc --^> ntmssvc.dll
  138. del %systemroot%\system32\ntmssvc.dll /s /f
  139. sc delete ntmssvc /f

  141. echo.
  142. echo # 直接删除Ias服务 --^> ias.dll
  143. del %systemroot%\system32\ias.dll /s /f
  144. sc delete ias /f

  146. echo.
  147. echo # 修复拨号网络服务tapisrv --^> tapisrv.dll
  148. del %systemroot%\system32\tapisrv.dll /s /f /a
  149. copy %systemroot%\ServicePackFiles\i386\tapisrv.dll %systemroot%\system32\ /y
  150. sc config tapisrv start= demand

  152. echo.
  153. echo # 修复应用程序管理服务Appmgmt --^> appmgmts.dll
  154. del %systemroot%\system32\appmgmts.dll /s /f /a
  155. copy %systemroot%\ServicePackFiles\i386\appmgmts.dll %systemroot%\system32\ /y
  156. reg add "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\AppMgmt" /v Start /t reg_dword /d 3 /f

  158. echo.
  159. echo # 修复加密服务Cryptsvc --^> cryptsvc.dll
  160. del %systemroot%\system32\cryptsvc.dll /s /f /a
  161. copy %systemroot%\ServicePackFiles\i386\cryptsvc.dll %systemroot%\system32\ /y
  162. echo y|cacls %systemroot%\system32\cryptsvc.dll /g system:r administrators:r
  163. reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CryptSvc" /v Start /t reg_dword /d 3 /f

  165. echo.
  166. echo # 修复共享服务browser --^> srvsvc.dll/wkssvc.dll/browser.dll
  167. del %systemroot%\system32\browser.dll
  168. copy %systemroot%\ServicePackFiles\i386\browser.dll %systemroot%\system32\ /y
  169. sc config browser start= demand

  171. echo.
  172. echo -----------------------------------------------------------------------------
  173. echo # 修复完成,请及时征对各项提示分别进行再处理!!!
  174. echo.
  175. echo # 最好重启系统再运行一遍,直接进安全模式用杀软全盘查杀!!!
  176. echo.
  177. echo # 仅适于系统异常时立即进行查杀,错误信息仅为手工二次查杀做准备!!!

  179. rem 直接重启
  180. rem shutdown /r /t 0 /f
  181. rem 不重启直接恢复系统重要服务
  182. net start lanmanserver >nul 2>&1
  183. net start lanmanworkstation >nul 2>&1
  184. net start audiosrv >nul 2>&1
  185. net start netman >nul 2>&1
  186. net start wzcsvc >nul 2>&1
  187. net start helpsvc >nul 2>&1
  188. net start winmgmt >nul 2>&1
  189. pause>nul
复制代码
转自:http://topic.csdn.net/u/20100904 ... f-135284d6834d.html
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|批处理之家 ( 渝ICP备10000708号 )

GMT+8, 2026-4-20 06:43

Powered by Discuz! X3.5

© 2001-2026 Discuz! Team.

快速回复 返回顶部 返回列表