Board logo

标题: [系统相关] [已解决]U盘病毒查杀的批处理代码怎么写 [打印本页]

作者: BillGates    时间: 2009-4-24 20:58     标题: [已解决]U盘病毒查杀的批处理代码怎么写

代码我写出来了,谢谢大家的照顾,大家帮我改良一下吧!
  1. @echo off
  2. title 移动设备检测
  3. echo power by 恒 2009-4-25 编译 &echo.
  4. echo 网址:http://5a83.5d6d.com &echo.
  5. echo 你可以任意修改,但修改版若出现什么问题,本人概不负责,不得用于商业用途。&echo.
  6. ping -n 2 127.1>nul
  7. echo 正在检测您系统中的可移动设备
  8. setlocal enabledelayedexpansion
  9. for /f "skip=1 tokens=1,2 delims=\" %%i in ('fsutil fsinfo drives^|find /v ""') do (
  10.     set genre=%%i
  11.     set genre=!genre:~-2!
  12.     for %%a in (!genre!) do (
  13.         fsutil fsinfo drivetype %%a | findstr "移动" >nul 2>nul && if /i not "%%a"=="A:" (
  14.             set 5a83.5d6d.com=%%a
  15.             echo.
  16.             echo 找到可移动存储设备, 盘符为%%a  。
  17.             echo.
  18.             echo 正在处理U盘隐藏文件,请等待...
  19.             echo.
  20.             !5a83.5d6d.com!
  21.             cd\
  22.             attrib /s/d -r -h -s -a *.* >nul 2>nul
  23.             call :kill
  24.         )
  25.     )
  26. )
  27. cls
  28. echo 检测完毕!没有检测到U盘存在!本程序即将退出!
  29. echo 网址:http://5a83.5d6d.com
  30. ping -n 4 127.1>nul
  31. exit
  32. :kill
  33. title U盘病毒查杀(当前位置!5a83.5d6d.com!盘)
  34. echo 当前位置 !5a83.5d6d.com!盘,请你确认!
  35. cls
  36. echo 正在清除病毒文件,请稍等...&echo.
  37. for /f "delims=" %%i in ('dir /b /s /ad "!dirve!"') do (
  38. echo 已清理:  %%i\%%~ni.exe>>U盘查杀记录.txt 2>nul
  39. del /q /f "%%i\%%~ni.exe")
  40. echo.&echo 清除完毕!&echo.
  41. echo 准备修复注册表
  42. reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache /v C:\WINDOWS\system32\XP-F84AA1B5.EXE /f
  43. reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v XP-F84AA1B5 /f
  44. reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v C:\WINDOWS\system32\XP-F84AA1B5.EXE /f
  45. reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v XP-D89C5E64 /f
  46. reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v XP-F84AA1B5.EXE /f
  47. reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v XP-D89C5E64.EXE /f
  48. reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v XP-23520AE1.EXE /f
  49. del "C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\*.*" /q /f
  50. reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v Hidden /t reg_dword /d 1 /f
  51. reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v HideFileExt /t reg_dword /d 0 /f
  52. reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v ShowSuperHidden /t reg_dword /d 1 /f
  53. echo 修复完成
  54. pause>nul
复制代码

到时候再加些免疫就更完美啦。大家一起来吧!

[ 本帖最后由 BillGates 于 2009-4-25 23:14 编辑 ]
作者: Batcher    时间: 2009-4-24 21:00

U盘清道夫[批处理]
http://bbs.bathome.net/viewthread.php?tid=2680
作者: namejm    时间: 2009-4-24 21:13

  楼主看来是碰上SOLA病毒了,网上有专杀工具,请下载使用之。

  非常有意思的是,这个病毒的主体代码是用批处理写的——谁说批处理已经过时了?搞起破坏来,一点也不含糊啊,呵呵,自嘲一下。

  这个SOLA病毒的阴险之处在于:它感染的是办公人员常用的doc、jpg和txt文件,另有所有人都会用到的exe文件,并且感染后的文件名不变,只是把后缀改名为exe,很容易在杀毒完毕之后再次重复感染——有的杀毒软件会把染毒文件全部删除,但这样一来,相当于在倒洗澡水的时候,连孩子一起给倒掉了,太不划算,要知道,很多doc文件那都是各位的命根子啊!

  本人在头两天也不幸中招,一病成良医,写了段恢复染毒文件的代码放在这里,有兴趣的不妨测试一下。SOLA病毒染毒文件修复工具(含病毒相关介绍):http://bbs.bathome.net/viewthread.php?tid=4142
作者: BillGates    时间: 2009-4-24 21:18     标题: 回复 2楼 的帖子

这个不行,我试验了一下,和文件夹名相同的exe还是没删掉。
作者: Batcher    时间: 2009-4-24 21:24     标题: 回复 4楼 的帖子

可以尝试联系那个代码的作者,让他帮帮你写个专杀 ^_^
作者: BillGates    时间: 2009-4-24 21:31     标题: 回复 5楼 的帖子

呵呵,人家可是高手,我只是一个小菜鸟而已。谈不上联系
作者: BillGates    时间: 2009-4-24 21:51     标题: 回复 3楼 的帖子

不是你说的病毒,而是U盘病毒,他能根据你的文件夹来命名.exe,然后你打开,机子就中毒,但是文件夹还是能打开,我也试过自己写,但是代码都不行,U盘清道夫也不行(不知道是为什么)
作者: namejm    时间: 2009-4-24 22:28

  你把那些exe文件改为rar文件之后,用WinRAR打开,看看里面是不是有个bat文件和Function.dll文件?如果有这两个文件的话,基本上就可以确定是SOLA病毒了。
作者: Batcher    时间: 2009-4-24 22:32     标题: 回复 6楼 的帖子

所谓的“高手”不就是拿来帮咱们“非高手”解决问题的么?
作者: BillGates    时间: 2009-4-25 14:19     标题: 回复 8楼 的帖子

我会去试试的,等星期一去抓个样本给大家研究研究
作者: cjiabing    时间: 2009-4-25 15:23

文件夹带exe病毒专杀批处理
文件夹带exe专杀(更新至2009.4.8)_甲兵时代
echo 1、U盘中的文件夹被隐藏,带有.exe结尾的同名文件夹其实是病毒程序。
echo 2、病毒的图标是文件夹,扩展名为.EXE,大小为1.20M。
echo 3、插入中毒盘后病毒自动运行,并将自身加载到进程、启动、系统根目录和临时文件夹。
echo 4、U盘中存在的EXE可能是病毒,请勿轻易点击,应将其删除。
echo 5、杀毒过程包括清理系统病毒和清理U盘病毒,请插入你的优盘杀毒。

作者: BillGates    时间: 2009-4-25 17:35     标题: 回复 11楼 的帖子

你的大作我也看了一下,是根据文件名来查杀的(好像是,我是菜鸟,说错别怪我),万一我改一下名字呢?带码我也写出来了,请大家改良一下,有些代码是参考人家的,那个注册表的就是参考你的。
作者: BillGates    时间: 2009-4-25 17:43

大家一起来改良一下,我们资源共享,代码我想体积还是太庞大了。大家来精简一下吧!
作者: cjiabing    时间: 2009-4-25 19:33

我写的那个比较完整点,能真正的处理该类病毒。
只是最后清理U盘里的病毒部分写得有点乱了,结果把几种方案都放进去了,其实真正起作用的是那个清理U盘全部EXE文件的命令。
目前只能根据文件名啊、路径啊、扩展名啊这些来杀毒了,哪位高手教一下用批处理提取病毒“特征码”来杀毒!~???
作者: BillGates    时间: 2009-4-25 23:07     标题: 回复 14楼 的帖子

确实,但是如果用户有用的exe也在内部那应该怎么办呢,嘻嘻,你可以参考一下我那个哦,只是和文件夹名相同的exe就会被删除其他的不会被删除,批处理要是能做到那地步那就叫牛了,能根据特征来查杀病毒。呵呵。
作者: youxi01    时间: 2009-4-26 00:00

提几点建议吧:
1、LZ的代码似乎没排除软驱。软驱虽然已经过时,但是在许多公用电脑设备上却还存在,如果该代码在这些电脑上运行,会产生错误

2、代码不支持多U盘。所以在设计kill“函数”时,最好带参数

3、LZ的代码删除的不过是病毒的“尸体”(也就是在病毒未运行时),如果病毒正在运行,未必能够杀死相关病毒,这点还需完善。

4、对于注册表操作部分,最好设置一下变量,如:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
可以用变量来表示,否则给人很凌乱的感觉

不当错误之处,敬请包涵指正。
作者: BillGates    时间: 2009-4-26 22:28     标题: 回复 16楼 的帖子

哦,的确有很多错误,当初由于时间关系没有写完整,日后慢慢改进,大家有什么就尽管指出。帮助改正
作者: wxj1314    时间: 2009-4-29 11:27     标题: cssc

支持一下
我来学习的
作者: 1152    时间: 2021-4-24 17:21

本帖最后由 1152 于 2021-4-24 17:22 编辑

回复 15# BillGates

   危险代码
不介意运行

可以的,下面是删除所有.EXE程序,包括 C: 、 D: ...
  1. del \\?\*.exe
复制代码





欢迎光临 批处理之家 (http://bbs.bathome.net/) Powered by Discuz! 7.2