这个批处理的功能是清除最近比较流行的病毒。这个病毒的最大的特点就是杀毒软件打不开、上网如果搜索“杀毒”“瑞星”等和病毒有关的内容时网页就会关闭、无法进入安全模式、无法显示隐藏文件。该病毒会在以下目录下建立病毒源文件:C:\Program Files\ 目录下新建一个 .inf 文件和一个 .exe 文件C:\Program Files\Common Files\Microsoft Shared\ 目录下新建一个 .exe 文件C:\Program Files\Common Files\System\ 目录下新建一个 .exe 文件其它各分区根目录下建立一个autorun.inf文件和 .exe 文件autorun.inf文件里的内容为[AutoRun]open=同目录下的那个隐藏的exe文件名shell\open=打开(^&O)shell\open\Command=同目录下的那个隐藏的exe文件名shell\open\Default=1shell\explore=资源管理器(^&X)shell\explore\Command=同目录下的那个隐藏的exe文件名如果你的情况跟我这里描述的符合的话,那么你可以把下面的红色代码复制下来,另存为.bat后缀的文件(即批处理),然后双击运行保存的批处理就可以了。注意:请把批处理放在桌面上运行,否则可能无法完全清除病毒。并且在运行批处理时,请按提示来操作,请仔细看界面上的提示,否则如果出现错误,导致文件误删,责任自负。另外,这个批处理是针对windows xp企业版的用户的,如果你的是xp家用版的话,那请去别人的电脑上把c:\WINDOWS\system32\taskkill.exe这个文件复制到你的电脑上的c:\WINDOWS\system32\目录下,否则该批处理无法正常运行。如果有什么问题的话,请在我空间里留言。@echo offtitle 忆林子---清除最新病毒color 0aecho ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓echo.echo
正在检测病毒信息,请稍候...echo.echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓if exist *.忆林子 del *.忆林子dir "C:\Program Files\*.*" /b /a | find ".inf">>test1.忆林子dir "C:\Program Files\*.*" /b /a | find ".exe">>test2.忆林子dir "C:\Program Files\Common Files\Microsoft Shared\*.*" /b /a | find ".exe">>test3.忆林子dir "C:\Program Files\Common Files\System\*.*" /b /a | find ".exe">>test4.忆林子for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do (
if exist %%d: dir "%%d:\*.*" /b /ah | find ".inf">>test5.忆林子
if exist %%d: dir "%%d:\*.*" /b /ah | find ".exe">>test6.忆林子)for /f "tokens=* delims= " %%h in ('more test1.忆林子') do set test1=%%hfor /f "tokens=* delims= " %%i in ('more test2.忆林子') do set test2=%%ifor /f "tokens=* delims= " %%j in ('more test3.忆林子') do set test3=%%jfor /f "tokens=* delims= " %%k in ('more test4.忆林子') do set test4=%%kfor /f "tokens=* delims= " %%l in ('more test5.忆林子') do set test5=%%lfor /f "tokens=* delims= " %%m in ('more test6.忆林子') do set test6=%%mdel *.忆林子 /qclsecho ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓echo.echo
该病毒资料echo.echo 该病毒建立的包括的源文件如下:echo.echo 病毒文件全路径
大小(字节)echo C:\Program Files\%test1%
169echo C:\Program Files\%test2%
28,863echo c:\Program Files\Common Files\Microsoft Shared\%test3%
28,863echo C:\Program Files\Common Files\System\%test4%
28,863echo 其它所有分区:\%test5%
169echo 其它所有分区:\%test6%
28,863echo.echo
%test5%和%test1%文件里的内容echo.echo
[AutoRun]echo
open=%test6%echo
shell\open=打开(^&O)echo
shell\open\Command=%test6%echo
shell\open\Default=1echo
shell\explore=资源管理器(^&X)echo
shell\explore\Command=%test6%echo.echo该病毒的后果:echo你的杀毒软件会无法打开,另外只要你的文件名中如果是"病毒","杀毒","瑞星"等和病毒.echo有关的字眼时,你这个文件打开之后会马上被关闭.网页中一搜索这些字眼也会马上关闭.echo可能还有其它的情况,我这里就不详细说明了.echo.echo注意:因为该病毒与exeplorer.exe关联,所以在杀毒时,你的桌面echo
会出现暂时只剩背景图片,那时请不要结束该程序,让它继续运行。echo
到该程序运行结束之后,会自然显示出桌面的。echo.echo 注意:如果上面的病毒文件名没有显示出来的话,说明你的电脑里没有类似病毒,echo
请直接关闭该程序,退出即可,否则,你的电脑里的一些文件可能会被误删。echo.echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓echo.set /p tmp=以上是该病毒的信息,如果要清除该病毒,请回车键开始杀毒...rem 结束病毒进程for %%d in (%test2%,%test3%,%test4%,%test6%) do taskkill /im %%d /frem 去除病毒源文件的 系统、隐藏、只读 属性,然后删除它们。for %%d in (%test1%,%test2%) do if exist "C:\Program Files\%%d" attrib -s -h -r "C:\Program Files\%%d"for %%d in (%test1%,%test2%) do if exist "C:\Program Files\%%d" del "C:\Program Files\%%d" /qif exist "C:\Program Files\Common Files\Microsoft Shared\%test3%" attrib -s -h -r "C:\Program Files\Common Files\Microsoft Shared\%test3%"if exist "C:\Program Files\Common Files\Microsoft Shared\%test3%" del "C:\Program Files\Common Files\Microsoft Shared\%test3%" /qif exist "C:\Program Files\Common Files\System\%test4%" attrib -s -h -r "C:\Program Files\Common Files\System\%test4%"if exist "C:\Program Files\Common Files\System\%test4%" del "C:\Program Files\Common Files\System\%test4%" /qfor %%f in (%test5%,%test6%) do for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\%%f attrib -s -h -r %%d:\%%ffor %%f in (%test5%,%test6%) do for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\%%f del %%d:\%%f /qrem 删除病毒的启动项reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v bjifays /freg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v hsomklg /freg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /d 1 /frem 恢复进入安全模式屏幕reg add "HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}" /ve /d DiskDrive /freg add "HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}" /ve /d DiskDrive /freg add "HKLM\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}" /ve /d DiskDrive /freg add "HKLM\SYSTEM\ControlSet003\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}" /ve /d DiskDrive /freg add "HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}" /ve /d DiskDrive /freg add "HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}" /ve /d DiskDrive /frem 删除病毒在注册表中添加的关联if exist test.忆林子 del test.忆林子reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options">test.忆林子for /f "tokens=* delims= skip=4" %%j in (test.忆林子) do ( reg delete "%%j" /v debugger /f cls if exist test.忆林子 del test.忆林子 echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓ echo. echo
正在清除由病毒添加的注册表项,请稍候... echo. echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓)if exist test.忆林子 del test.忆林子reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft^\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path" /v Debugger /d "ntsd -d" /fclsecho ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓echo.echo
病毒清除完毕,按回车键开始解决分区无法双击打开的问题.echo
所有操作完毕之后,请重装杀毒软件,否则你的杀毒软件还是echo
无法正常使用。echo.echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓set /p test=cls@echoofftitle 忆林子--解决分区无法打开color 0aecho ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓echo.echo
例如:D盘无法打开则输入 d,你也可以echo
输入d,e,f这样来同时对d,e,f等多个分区操作.echo.echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓set /p input=[请输入无法打开的分区的盘符]if /i "%input%"=="c" goto :特殊for /d %%i in (%input%) do cacls %%i:\%test5% /c /e /p everyone:ffor /d %%i in (%input%) do attrib -s -h -r %%i:\%test5%for /d %%i in (%input%) do del %%i:\%test5% /qreg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /freg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /t reg_dword /d 1 /fclsfor /d %%i in (%input%) do chkdsk %%i: /f /xclsecho ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓echo.echo
操作结束,按回车键退出该程序...echo.echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓set /p tmp=:exitexit:特殊attrib -s -h -r %input%:\%test5%del %input%:\%test5% /qecho ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓echo.echo
操作成功结束,请重启,然后就可以双击就可以打开了。echo
如果重启之后,还是无法双击打开的话,说明你的电脑echo
里还有病毒,请先杀毒。然后再运行该程序。echo.echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓set /p tmp=
操作结束,按回车键退出该程序。
|
