Board logo

标题: [安全相关] 批处理小工具:autorun 病毒处理 [打印本页]

作者: bluewing009    时间: 2010-1-13 19:13     标题: 批处理小工具:autorun 病毒处理

作用:

删除autorun.inf启动文件。
删除 病毒本体。
处理被隐藏的文件夹。
删除病毒伪装。
建立不可删除的免疫。

适用:  几乎所有的autorun.inf病毒  其表现为:  文件夹被隐藏,  出现同名的exe或者lnk。

文件已打包,放入U盘 根目录即可。

请宝宝们使用后反馈些意见上来哦~~~      提出些修改建议。

以下为代码,同时也可下载附件是做好的:
  1. @echo off
  2. mode con cols=80 lines=25
  3. title  autorun病毒专杀
  4. setlocal enabledelayedexpansion
  5. color 3F
  6. echo ★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★
  7. echo ☆                                                                          ☆
  8. echo ★                  autorun.inf 病毒处理工具                                ★
  9. echo ☆                                                                          ☆
  10. echo ★                                                      VBT - 九 影         ★
  11. echo ☆                                                                          ☆
  12. echo ★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★
  13. echo.
  14. echo.
  15. echo.
  16. echo.
  17. echo   说明:  可处理.exe和.lnk等 autorun.inf启动类U盘病毒。
  18. echo.
  19. echo   作用: 删除病毒,恢复文件夹正常属性,解除系统隐藏,建立免疫文件。
  20. echo.
  21. echo.
  22. echo                                                    任意键开始......
  23. pause>nul
  24. cls
  25. attrib -h -s -r autorun.inf
  26. if exist "autorun.inf" (
  27. echo → 发现autorun.inf启动文件。
  28. echo.
  29. for /f "tokens=1,2,3 delims== " %%i in (autorun.inf) do (
  30.   if "%%i" equ "Shellexecute" (
  31.    echo → 发现启动指向病毒体:
  32.    echo.
  33.    echo %%j
  34.    if %%k neq "" echo %%k
  35.    echo.
  36.    if exist %%j del /f /s /q %%j
  37.    if %%k neq "" (
  38.     if exist %%j del /f /s /q %%k
  39.     )
  40.    echo.
  41.    echo → 病毒体删除完成。
  42.    )
  43. )
  44. )
  45. for /f "delims=" %%m in ('dir /ad /b') do (
  46. if exist %%m.lnk (
  47. echo.
  48. echo → 发现快捷方式病毒(*.lnk)。
  49. echo.
  50. echo 删除......
  51. del / f /q /s %%m.lnk
  52. )
  53. if exist %%m.exe (
  54. echo.
  55. echo → 发现exe病毒(*.exe)。
  56. echo.
  57. echo 删除......
  58. del / f /q /s %%m.exe
  59. )
  60. echo.
  61. echo → 恢复文件夹正常属性......
  62. attrib -h -s -r %%m
  63. )
  64. echo.
  65. echo → 恢复系统显示隐藏属性......
  66. reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\" /v "CheckedValue" /t reg_dword /d 1 /f
  67. reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\" /v "Defaultvalue" /t reg_dword /d 2 /f
  68. echo.
  69. echo → 准备放置免疫文件。
  70. echo.
  71. echo 会删除autorun.inf 文件。如果你用它来DIY U盘,请退出。
  72. echo.
  73. :c
  74. set /p var=(Y,继续;N,放弃):
  75.   if /I %var%==y goto :y
  76.   if /I %var%==n goto :n
  77. echo.
  78. echo 输入错误,请重试。
  79. goto :c
  80. :y
  81. del /f /q /s autorun.inf
  82. rd autorun.inf
  83. md autorun.inf
  84. cd autorun.inf
  85. md U盘病毒免疫..\
  86. echo 免疫完成。
  87. echo.
  88. echo.
  89. echo    退出.....
  90. pause>nul
  91. exit
  92. :n
  93. echo.
  94. echo 已放弃。
  95. echo.
  96. echo    退出.....
  97. pause>nul
复制代码

作者: jwchen08    时间: 2010-1-13 19:39

这个好呀,我电脑里貌似就用autorun类的病毒,表现为进入磁盘时会有dllhost.exe进程自动运行,并且该进程占用CPU50%以上。
这个程序很实用,但是功能还可以再完善一点,因为貌似没法把病毒给杀掉~~~~
作者: bluewing009    时间: 2010-1-13 19:56     标题: 回复 2楼 的帖子

呼呼~~  一旦病毒被运行后,这个就没法追杀了。
因为autorun.inf只是个启动文件。被他启动的文件多了去了~~~
所以对付已经运行的文件 还是要靠病毒扫描~~

bat  暂时没法到特征码式扫描哦........


话又说回来~  其实编这个的目的是因为问问上的人问了一大片这种问题~  汗...
所以写个东东 让他们来下~~  既方便又能增加人气哦~  O(∩_∩)O~
作者: Batcher    时间: 2010-1-13 21:52

能否直接把代码贴出来以便他人查看?
作者: bluewing009    时间: 2010-1-13 22:16     标题: 回复 4楼 的帖子

源码已经贴出,可以直接使用。
作者: cao    时间: 2010-1-15 21:37

九影,你的改进就只是添加了免疫么?
作者: cao    时间: 2010-1-15 23:54

在论坛的http://www.bathome.net/thread-1203-1-2.html这个网页里的这位楼主早已弄出来了,需要下载,那位楼主的病毒处理器很长,源码我就不发出来了,你可以去我推介的帖子里面下载来看看,那位楼主的附件里面还有好多代码,你也可以去研究下。
作者: bluewing009    时间: 2010-1-16 14:21     标题: 回复 7楼 的帖子

哦了,没发现坛子里还有这个………
看到他的代码,明显是针对一个病毒写出来的,包括服务,进程的关闭…等等。但是,autorun作为一个启动类病毒,能被它启动的多了去了。所以看似很强大,但是只是针对某个特殊情况。同样,只是删除了autorun.inf文件。病毒本体没有处理,被隐藏的文件夹属性也没有处理。伪装的exe,lnk也没有删除(这些不删除,你一运行病毒又回来了)
作者: cao    时间: 2010-1-16 23:20     标题: 回复 8楼 的帖子

你说的对,这确实是此人的autorun病毒处理器值得改进的方法,但是我的感觉是此人的工具的功能更强大,并且连外部U盘也能进行免疫。另外,我感觉他的工具的第三个选项,关于注册表的禁用的代码就解决的你说的还存在伪装的lnk,exe病毒的问题。




欢迎光临 批处理之家 (http://bathome.net./) Powered by Discuz! 7.2