瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 关于8位随机字母数字病毒.EXE--IEFO劫持--专杀工具

1   1  /  1  页   跳转

关于8位随机字母数字病毒.EXE--IEFO劫持--专杀工具

收藏
逍遥浪子45
头像
自信弱冠狮
  • 帖子:329
  • 注册: 2006-09-25
  • 来自:
发表于: 2007-06-09 18:44 | 只看楼主 短消息 资料
字号: 1楼

关于8位随机字母数字病毒.EXE--IEFO劫持--专杀工具

前提,需要用到工具冰刃--先把冰刃重命名为任意.EXE,接着禁止进程创建,然后再使用下面的BAT处理,
 

请复制下面代码到记事本,保存为任意名.BAT文件运行,如果被禁止运行,建议先把里面的杀毒,病毒字样去掉后再重试,那个病毒会自动关闭杀,毒字样的程序运行.

:KILL
@echo off
color A
cls
title 随机8位数字字母专杀程序--by 逍遥@浪子@
@echo ************************************************************
@echo #                                                          # 
@echo #        欢迎使用随机8位数字字母专杀程序            #
@echo #                                                          # 
@echo #            对付病毒,决不留情!  by 逍遥@浪子@            #
@echo #                                                          #
@echo ************************************************************
:xianshi
@ECHO Windows Registry Editor Version 5.00>SHOWALL.reg
@ECHO [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]>>SHOWALL.reg
@ECHO "CheckedValue"=->>SHOWALL.reg
@ECHO [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]>>SHOWALL.reg
@ECHO "CheckedValue"=dword:00000001>>SHOWALL.reg
@REGEDIT /S SHOWALL.reg
@DEL /F /Q SHOWALL.reg
@echo ***********************************************************
@echo #                    显示所有文件完毕!                  #
@echo #                                                        #
@echo #                      按任意键继续                      #
@echo ***********************************************************
@pause>nul 2>nul
goto jiesuo

:jiesuo
@cls
@echo Windows Registry Editor Version 5.00 >jiesuo.reg
@echo [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]>>jiesuo.reg
@echo "DisableRegistryTools"=dword:00000000>>jiesuo.reg
@regedit /s jiesuo.reg
@del /F /Q jiesuo.reg 
@echo ***********************************************************
@echo #                    解锁注册表完毕!                    #
@echo #                                                        #
@echo #                      按任意键继续                      #
@echo ***********************************************************
@pause>nul 2>nul
GOTO ZD

:zd
@cls
@echo Windows Registry Editor Version 5.00 >%systemroot%\autorun.reg
@echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]>>%systemroot%\autorun.reg
@echo "NoDriveTypeAutoRun"=dword:000000ff>>%systemroot%\autorun.reg
@regedit /s %systemroot%\autorun.reg
@del /F /Q %systemroot%\autorun.reg
@cls
@echo ***********************************************************
@echo #                                                        #
@echo #              关闭所有驱动器自动播放完毕!              #
@echo #                                                        #
@echo #                    请按任意键继续                      #
@echo ***********************************************************
@pause>nul 2>nul
@GOTO qdyh

:qdyh
@cls
@echo ****************************************************************
@echo #  去掉可疑启动前面的勾,建议只保留两个启动项; 一个是"输入法" #
@echo #                                                              #
@echo #  另一个是"杀毒软件实时监控"(如果还装了防火墙,也请保留).      #
@echo #                                                              #
@echo #  ★ 下面是常见的启动项名:                                 #
@echo #                                                              #
@echo #  卡巴斯基==kav   瑞星==RavTask   金山==KAVStart          #
@echo #                                                              #
@echo #  江民==KV    输入法==ctfmon      天网==pfw.exe          #
@echo #                                                              #
@echo ****************************************************************
@start "" msconfig.exe
@echo  按任意键继续  
@pause>nul 2>nul
@GOTO DEL       

:DEL
@CLS
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options /f >nul 2>nul
FOR %%a IN ( C: D: E: F: G: H: I: J: K: L: M: N: O: P: Q: R: S: T: U: V: W: X: Y: Z: )
set /p UserSelection=请输入要删除的病毒文件
ATTRIB -R -H -S -A %%a "%UserSelection%"
del /F /Q /A %%a "%UserSelection%"
@echo.
@echo            已经成功删除了该病毒文件!
@echo.
@echo      1:接着删除病毒文件    2:退出本程序
@echo.
@set /p UserSelection=输入您的选择(1、2 )
@if "%UserSelection%"=="1" goto del
@if "%UserSelection%"=="2" goto EXIT
goto del

:EXIT
CLS
@echo ***********************************************************
@echo #                    查杀病毒完毕!                     #
@echo #                                                        #
@echo #                      按任意键退出                      #
@echo ***********************************************************
@pause>nul 2>nul
GOTO EBD
最后编辑2007-06-10 08:11:23
分享到:
gototop
 
逍遥浪子45
头像
自信弱冠狮
  • 帖子:329
  • 注册: 2006-09-25
  • 来自:
发表于: 2007-06-09 18:47 | 只看楼主 短消息 资料
字号: 2楼

相关处理方法见
http://forum.ikaka.com/topic.asp?board=28&artid=8321467&page=1
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-09 19:12 | 短消息 资料
字号: 3楼

引用:
【逍遥浪子45的贴子】前提,需要用到工具冰刃--先把冰刃重命名为任意.EXE,接着禁止进程创建,然后再使用下面的BAT处理,
 

………………

一个问题:
现在新出的变种,即使改名运行了IS,病毒迅速将IS窗口最小化.
基本不能做任何操作.
gototop
 
孤独更可靠
头像
锋芒艾服狮
  • 帖子:1788
  • 注册: 2007-01-27
  • 来自:
发表于: 2007-06-09 19:16 | 短消息 资料
字号: 4楼

还有一个问题是``

能开IS的话```什么都可以搞定了````
gototop
 
逍遥浪子45
头像
自信弱冠狮
  • 帖子:329
  • 注册: 2006-09-25
  • 来自:
发表于: 2007-06-09 19:32 | 只看楼主 短消息 资料
字号: 5楼

引用:
【baohe的贴子】
一个问题:
现在新出的变种,即使改名运行了IS,病毒迅速将IS窗口最小化.
基本不能做任何操作.
………………

呵呵,猫叔,那个可以用冰刃的参数调出隐藏的冰刃窗口吧?

以下是PJF大哥的话:

如何退出IceSword:直接关闭,若你要防止进程被结束时,需要以命令行形式输入:IceSword.exe /c,此时需要Ctrl+Alt+D才能关闭(使用三键前先按一下任意键)。
    如果最小化到托盘时托盘图标又消失了:此时可以使用Ctrl+Alt+S将IceSword主界面唤出。因为偷懒没有重绘图标,将就用吧^_^。

4楼的朋友是江民的吧,呵呵,冰刃确实是PJF大哥的强力工具,但不是万能的哈,话不能说的太满,这个PJF大哥也曾经说过.具体可以找下我博客的PJF大哥博客连接!~
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-09 20:15 | 短消息 资料
字号: 6楼

引用:
【逍遥浪子45的贴子】
呵呵,猫叔,那个可以用冰刃的参数调出隐藏的冰刃窗口吧?

………………

中了那个新变种(worm.agent.wk)——试过。
不行。
这类病毒,重在预防。
IFEO劫持,也是如此。http://bbs.2dai.com/viewthread.php?tid=592121&extra=page%3D1
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2007-06-09 22:01 | 短消息 资料
字号: 7楼

呵呵!!!!!

还是在批处理上下下工夫,看看在知道病毒主程序位置和名字的情况下,怎么做个重启开机时,抢在病毒前面删除相应病毒文件的批处理,这才是最主要的哦。才是绝的呢。

这样不会什么东西的求助的,都可以自己扫日志,按照日志,重启删除病毒文件了。

是吧?????

别依赖别的工具,才能用你这个。

孤独说了,能开IS,就不用你那个都可以卡嚓了。

呵呵!!!!!

再努力哦。
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2007-06-09 22:05 | 短消息 资料
字号: 8楼

呵呵!!!

知道XDelBox1.2吧?????

这可是在系统中加入病毒文件的名字和路径,就可以轻松重启,抢在系统前DOS下删除病毒文件的哦。

这是最主要的思路哦。也是不太会处理病毒的求助者最容易上手学会的东西哦。

你只能在这上下工夫,才灵验哦。否则,现在的病毒不会那么容易对付的。

呵呵!!!!!
gototop
 
逍遥浪子45
头像
自信弱冠狮
  • 帖子:329
  • 注册: 2006-09-25
  • 来自:
发表于: 2007-06-10 08:21 | 只看楼主 短消息 资料
字号: 9楼

如果是这样的话,那么是需要改进批处理,由于病毒是随机的,让人把病毒文件名字先定义到配置文件中,用批处理调用配置文件,关于开机自己启动杀死病毒,可以做到,用AT命令或者是注册为系统服务,或者是搞个把自己添加到开机启动文件夹里,或者是弄个注册表启动,都可以实现...

现在的问题是,如果病毒先加载,那么进程运行后该如何杀那家伙本体?这个批处理无法实现的,那个参数不知道怎么写,如何可以禁止进程创建,要是批处理能实现,就不用冰刃了.

说到底,猫叔说的最有道理,关键是防御,批处理只能实现防毒,不能实现杀毒的,毕竟最多也就能做个专杀,对变种就没办法了,灵动性太差.

不过,那个8位随机病毒确实很好处理来着,一般远程帮人弄下就好了...

:DEL
@CLS
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options /f >nul 2>nul

这句就是删除掉IEFO劫持的..........

删除完后,我看干脆禁止使用注册表,那么就不会中那家伙了...

禁止使用注册表

@reg  add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableRegistryTools /t reg_dword /d 00000001 /f

当以后要用的时候在解注册表..

@reg  add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableRegistryTools /t reg_dword /d 00000000 /f
start regedit

以上代码都需保存为.BAT批处理文件脚本..
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT