|
wert123
中级用户
积分 301
发帖 135
注册 2007-5-15
状态 离线
|
『楼 主』:
病毒免疫代码
@echo off
set "s32_a=HBmhly.exe"
set "s32_b=qqtmd.exe"
set "w_a=cssys.exe"
for /f "tokens=1* delims==" %%i in ('set s32_') do (
attrib %windir%\system32\%%j -s -h -r
del %windir%\system32\%%j
mkdir %windir%\system32\%%j
attrib %windir%\system32\%%j +s +h +r
@ECHO Y|cacls %windir%\system32\%%j /p everyone:n >nul
)
for /f "tokens=1* delims==" %%i in ('set w_') do (
attrib %windir%\%%j -s -h -r
del %windir%\%%j
mkdir %windir%\%%j
attrib %windir%\%%j +s +h +r
@ECHO Y|cacls %windir%\%%j /p everyone:n >nul
)
exit
上面的代码是免役指定的程序代码,与大家分享,由于经常用到
不知道有没有有需要改进的地方,希望大家斧正
[ Last edited by wert123 on 2008-7-6 at 09:18 PM ]
|
|
 2008-7-6 21:17 |
|
|
HAT
版主
积分 9023
发帖 5017
注册 2007-5-31
状态 离线
|
『第
2 楼』:
虚拟增大病毒库,呵呵。
|
 |
|
|
2008-7-6 21:43 |
|
|
lxmxn
版主
积分 11386
发帖 4938
注册 2006-7-23
状态 离线
|
 『第
3 楼』:
为什么要set+for呢?
不觉得麻烦吗?
如果文件少可以直接丢到for的遍历体里面,多了就写个配置文件,用for来读取,简洁明了。
|
|
|
2008-7-7 00:52 |
|
|
wert123
中级用户
积分 301
发帖 135
注册 2007-5-15
状态 离线
|
『第
4 楼』:
对啊,我怎么就没有想到呢,我在网吧只见过exe+ini 版的,麻烦斑竹帮忙写个脚本的吧
[ Last edited by wert123 on 2008-7-7 at 01:15 PM ]
|
|
|
2008-7-7 13:05 |
|
|
wert123
中级用户
积分 301
发帖 135
注册 2007-5-15
状态 离线
|
『第
5 楼』:
现在有时也要去网吧,刚上去时扫描没有QQ木马,等过了一两分钟,qq就自动关闭了,qq医生屏蔽了,
qq医生更新不了,好象有个tm000001文件改不了,qq医生也从网上更新不了,一查进程乱七八糟的进程一
大堆(在搜索引擎上几乎没有资料,是不是随机生成的名字啊)
我用IceSword.scr关闭了坏进程以后,可是qq医生还是一样,下载的av等专杀程序,刚一运行,就自动删除了,郁闷啊,
看来那家网吧最近的网吧不能去了啊,每次去都一样,郁闷,我太被动了啊,不敢登邮箱,不敢玩游戏,只能登个9位的qq号啊
希望大家帮我下
[ Last edited by wert123 on 2008-7-8 at 09:47 PM ]
|
|
|
2008-7-7 13:31 |
|
|
knoppix7
银牌会员
积分 1287
发帖 634
注册 2007-5-2
来自 cmd.exe
状态 离线
|
『第
6 楼』:
不光关怪进程.
最好把桌面,IE等等都关掉.
|
|
|
2008-7-7 19:24 |
|
|
knoppix7
银牌会员
积分 1287
发帖 634
注册 2007-5-2
来自 cmd.exe
状态 离线
|
『第
7 楼』:
没什么经验-0-
下个PE估计好点
|
|
|
2008-7-7 19:25 |
|
|
wxcute
中级用户
积分 458
发帖 211
注册 2006-7-26
状态 离线
|
『第
8 楼』:
去网吧就自己下个QQ,网吧安装的很多都有问题。----当然首先要能下
|
┌───────┐
├→学习→实践→┤
└───────┘ |
|
|
2008-7-7 22:32 |
|
|
wert123
中级用户
积分 301
发帖 135
注册 2007-5-15
状态 离线
|
『第
9 楼』:
pe是什么啊,这个软件做什么的,能解决局域网的问题吗
lxmxn斑竹最近不在,谁帮忙写个脚本+ini版的
|
|
|
2008-7-8 18:33 |
|
|
523066680
银牌会员
SuperCleaner
积分 2362
发帖 1133
注册 2008-2-2
状态 离线
|
『第
10 楼』:
唉……现在的病毒 好像都不是用免疫能防的住的了,病毒无情,人有情,
看我经常看H网站的时候用来防毒的进程查杀bat
(如果是以原有的进程名执行的病毒,这个批处理就没辙拉,但是病毒总不会孤军做战,总要用到其他进程,所以,这个思路我认为还是可以的,至少我看H网的时候没中毒)
@echo off
for /f "skip=10" %%a in ('type %~nx0') do (
if not exist oldlist\%%a (md oldlist\%%a)
)
:action
for /f "skip=1" %%a in ('tasklist /nh') do (
if not exist oldlist\%%a (taskkill /t /f /im %%a &echo.%%a>>keyi.x)
)
ping -n 2 127.0>nul
goto action
System
smss.exe
csrss.exe
winlogon.exe
services.exe
lsass.exe
svchost.exe
svchost.exe
svchost.exe
explorer.exe
dllhost.exe
CltSrv.exe
nvsvc32.exe
svchost.exe
dmadmin.exe
Clsmn.exe
VM_STI.EXE
internat.exe
conime.exe
IEXPLORE.EXE
Thunder5.exe
QQ.exe
TIMPlatform.exe
Qzone.exe
PinyinUp.exe
notepad.exe
cmd.exe
cmd.exe
tasklist.exe
rundll32.exe
wmiprvse.exe
winrar.exe
------------------------------------------------------------------------------
进程部分可以自己更新
|
|
|
2008-7-8 21:37 |
|
|
wert123
中级用户
积分 301
发帖 135
注册 2007-5-15
状态 离线
|
『第
11 楼』:
如果是插入进程的东东怎么办呢
我用unlock查看了后,原来explorer 还调用了 qq目录下的QQDoctor\tm000001.tsd
难怪qq更新不了,关了explorer后,qq.exe又去调用tm000001.tsd去了,都关了后,TSFSCAN.dat也是坏的,反正只有重启还原,
又和上面一样的,估计叫网管把除了这台机子的电脑都关了,也许才好
[ Last edited by wert123 on 2008-7-13 at 07:17 PM ]
|
|
|
2008-7-9 12:34 |
|
|
huahua0919
银牌会员
积分 1608
发帖 780
注册 2007-10-7
状态 离线
|
『第
12 楼』:
杀毒软件和安全软件都被劫持列表劫持了,可以先在命令模式下将注册表下的劫持列表删除后在处理其他的文件信息
|
|
|
2008-7-9 12:43 |
|
|
yangjiang
初级用户
积分 92
发帖 49
注册 2006-10-22
状态 离线
|
|
|
2008-7-9 16:28 |
|
|
wert123
中级用户
积分 301
发帖 135
注册 2007-5-15
状态 离线
|
『第
14 楼』:
| Quote: | 唉……现在的病毒 好像都不是用免疫能防的住的了,病毒无情,人有情,
看我经常看H网站的时候用来防毒的进程查杀bat
(如果是以原有的进程名执行的病毒,这个批处理就没辙拉,但是病毒总不会孤军做战,总要用到其他进程,所以,这个思路我认为还是可以的,至少我看H网的时候没中毒)
@echo off
for /f "skip=10" %%a in ('type %~nx0') do (
if not exist oldlist\%%a (md oldlist\%%a)
)
:action
for /f "skip=1" %%a in ('tasklist /nh') do (
if not exist oldlist\%%a (taskkill /t /f /im %%a &echo.%%a>>keyi.x)
)
ping -n 2 127.0>nul
goto action
System
smss.exe
csrss.exe
winlogon.exe
services.exe
lsass.exe
svchost.exe
svchost.exe
svchost.exe
explorer.exe
dllhost.exe
CltSrv.exe
nvsvc32.exe
svchost.exe
dmadmin.exe
Clsmn.exe
VM_STI.EXE
internat.exe
conime.exe
IEXPLORE.EXE
Thunder5.exe
QQ.exe
TIMPlatform.exe
Qzone.exe
PinyinUp.exe
notepad.exe
cmd.exe
cmd.exe
tasklist.exe
rundll32.exe
wmiprvse.exe
winrar.exe
------------------------------------------------------------------------------
进程部分可以自己更新 |
|
麻烦大虾帮忙改下,我想一开机完就运行(由于病毒好象开机后过两分钟运行的),先用tasklist列出开机的进程,然后把进程固定,
因为这个时候qq和IE等都没有运行,所以要把进程单固定为:
开机刚完的进程+qq.exe+iexplore.exe+winrar.exe+NBRamCli.exe
跪求,急用,太被动了,在这网吧上网是暴露的,感觉被别人捏在手板心里。谢谢
[ Last edited by wert123 on 2008-7-11 at 07:19 PM ]
|
|
|
2008-7-10 22:06 |
|
|
ZJHJ
高级用户
积分 609
发帖 374
注册 2006-8-2
状态 离线
|
『第
15 楼』:
可以开机后检查进程加你需要的进程作为基准.
过段时间 再检查一次,多出的就把他干掉
|
|
|
2008-7-11 07:18 |
|
