标题: [安全相关] 批处理小工具:autorun 病毒处理 [打印本页]
作者: bluewing009 时间: 2010-1-13 19:13 标题: 批处理小工具:autorun 病毒处理
作用:
删除autorun.inf启动文件。
删除 病毒本体。
处理被隐藏的文件夹。
删除病毒伪装。
建立不可删除的免疫。
适用: 几乎所有的autorun.inf病毒 其表现为: 文件夹被隐藏, 出现同名的exe或者lnk。
文件已打包,放入U盘 根目录即可。
请宝宝们使用后反馈些意见上来哦~~~ 
提出些修改建议。
以下为代码,同时也可下载附件是做好的:- @echo off
- mode con cols=80 lines=25
- title autorun病毒专杀
- setlocal enabledelayedexpansion
- color 3F
- echo ★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★
- echo ☆ ☆
- echo ★ autorun.inf 病毒处理工具 ★
- echo ☆ ☆
- echo ★ VBT - 九 影 ★
- echo ☆ ☆
- echo ★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★
- echo.
- echo.
- echo.
- echo.
- echo 说明: 可处理.exe和.lnk等 autorun.inf启动类U盘病毒。
- echo.
- echo 作用: 删除病毒,恢复文件夹正常属性,解除系统隐藏,建立免疫文件。
- echo.
- echo.
- echo 任意键开始......
- pause>nul
- cls
- attrib -h -s -r autorun.inf
- if exist "autorun.inf" (
- echo → 发现autorun.inf启动文件。
- echo.
- for /f "tokens=1,2,3 delims== " %%i in (autorun.inf) do (
- if "%%i" equ "Shellexecute" (
- echo → 发现启动指向病毒体:
- echo.
- echo %%j
- if %%k neq "" echo %%k
- echo.
- if exist %%j del /f /s /q %%j
- if %%k neq "" (
- if exist %%j del /f /s /q %%k
- )
- echo.
- echo → 病毒体删除完成。
- )
- )
- )
- for /f "delims=" %%m in ('dir /ad /b') do (
- if exist %%m.lnk (
- echo.
- echo → 发现快捷方式病毒(*.lnk)。
- echo.
- echo 删除......
- del / f /q /s %%m.lnk
- )
- if exist %%m.exe (
- echo.
- echo → 发现exe病毒(*.exe)。
- echo.
- echo 删除......
- del / f /q /s %%m.exe
- )
- echo.
- echo → 恢复文件夹正常属性......
- attrib -h -s -r %%m
- )
- echo.
- echo → 恢复系统显示隐藏属性......
- reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\" /v "CheckedValue" /t reg_dword /d 1 /f
- reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\" /v "Defaultvalue" /t reg_dword /d 2 /f
- echo.
- echo → 准备放置免疫文件。
- echo.
- echo 会删除autorun.inf 文件。如果你用它来DIY U盘,请退出。
- echo.
- :c
- set /p var=(Y,继续;N,放弃):
- if /I %var%==y goto :y
- if /I %var%==n goto :n
- echo.
- echo 输入错误,请重试。
- goto :c
- :y
- del /f /q /s autorun.inf
- rd autorun.inf
- md autorun.inf
- cd autorun.inf
- md U盘病毒免疫..\
- echo 免疫完成。
- echo.
- echo.
- echo 退出.....
- pause>nul
- exit
- :n
- echo.
- echo 已放弃。
- echo.
- echo 退出.....
- pause>nul
作者: jwchen08 时间: 2010-1-13 19:39
这个好呀,我电脑里貌似就用autorun类的病毒,表现为进入磁盘时会有dllhost.exe进程自动运行,并且该进程占用CPU50%以上。
这个程序很实用,但是功能还可以再完善一点,因为貌似没法把病毒给杀掉~~~~
作者: bluewing009 时间: 2010-1-13 19:56 标题: 回复 2楼 的帖子
呼呼~~ 一旦病毒被运行后,这个就没法追杀了。
因为autorun.inf只是个启动文件。被他启动的文件多了去了~~~
所以对付已经运行的文件 还是要靠病毒扫描~~
bat 暂时没法到特征码式扫描哦........
话又说回来~ 其实编这个的目的是因为问问上的人问了一大片这种问题~ 汗...
所以写个东东 让他们来下~~ 既方便又能增加人气哦~ O(∩_∩)O~
作者: Batcher 时间: 2010-1-13 21:52
能否直接把代码贴出来以便他人查看?
作者: bluewing009 时间: 2010-1-13 22:16 标题: 回复 4楼 的帖子
源码已经贴出,可以直接使用。
作者: cao 时间: 2010-1-15 21:37
九影,你的改进就只是添加了免疫么?
作者: cao 时间: 2010-1-15 23:54
在论坛的http://www.bathome.net/thread-1203-1-2.html这个网页里的这位楼主早已弄出来了,需要下载,那位楼主的病毒处理器很长,源码我就不发出来了,你可以去我推介的帖子里面下载来看看,那位楼主的附件里面还有好多代码,你也可以去研究下。
作者: bluewing009 时间: 2010-1-16 14:21 标题: 回复 7楼 的帖子
哦了,没发现坛子里还有这个………
看到他的代码,明显是针对一个病毒写出来的,包括服务,进程的关闭…等等。但是,autorun作为一个启动类病毒,能被它启动的多了去了。所以看似很强大,但是只是针对某个特殊情况。同样,只是删除了autorun.inf文件。病毒本体没有处理,被隐藏的文件夹属性也没有处理。伪装的exe,lnk也没有删除(这些不删除,你一运行病毒又回来了)
作者: cao 时间: 2010-1-16 23:20 标题: 回复 8楼 的帖子
你说的对,这确实是此人的autorun病毒处理器值得改进的方法,但是我的感觉是此人的工具的功能更强大,并且连外部U盘也能进行免疫。另外,我感觉他的工具的第三个选项,关于注册表的禁用的代码就解决的你说的还存在伪装的lnk,exe病毒的问题。
| 欢迎光临 批处理之家 (http://bbs.bathome.net/) |
Powered by Discuz! 7.2 |