相关处理结果见
http://forum.ikaka.com/topic.asp?board=28&artid=8321467&page=1

专杀工具见
http://forum.ikaka.com/topic.asp?board=28&artid=8321490


猫叔,前些日子写的那关于  假如病毒通过IEFO劫持XP系统升级的问题  本人找了下那键值,老觉得眼熟,翻了翻以前收集的批处理程序,终于发现了那程序原来是通过IEFO劫持
将病毒本体禁止运行,想法实在是不错.

  这里公布点实用的禁止病毒运行的代码,毕竟我们写程序就是为了服务大家的,虽然很多人看不起批处理程序,但我希望能加精!~

用IEFO劫持禁止病毒运行1:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Control Panel\Desktop]
"AutoEndTasks"="1"
"HungAppTimeout"="200"
"WaitToKillAppTimeout"="200"
"WaitTOKillService"="200"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]
"WaitToKillServiceTimeout"="200"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters]
"EnablePrefetcher"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"SFCDisable"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AlwaysUnloadDLL]
@="0"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareServer"=dword:00000000
"AutoSharewks"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Windows]
"NoPopUpsOnBoot"=dword:00000001
[HKEY_CLASSES_ROOT\lnkfile]
@="快捷方式"
"EditFlags"=dword:00000001
"NeverShowExt"=""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RemoteComputer\NameSpace]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RemoteComputer\NameSpace\{2227A280-3AEA-1069-A2DE-08002B30309D}]
@="Printers"
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer]
"Link"=hex:00,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters]
"EnablePrefetcher"=dword:00000003
[HKEY_USERS\.DEFAULT\Control Panel\Desktop]
"FontSmoothing"="2"
"FontSmoothingType"=dword:00000002
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"MaxConnectionsPer1_0Server"=dword:00000008
"MaxConnectionsPerServer"=dword:00000008
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control]
"WaitToKillServiceTimeout"="1000"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Shareaza.exe]
"Debugger"="c:\\中国超级BT.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\4047.exe]
"Debugger"="c:\\中国超级BT捆绑的病毒.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TuoTu.exe]
"Debugger"="c:\\P2P类.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\qqfo1.0_dl.exe]
"Debugger"="c:\\P2P类.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SuperLANadmin.exe]
"Debugger"="c:\\破坏类.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WinPcap30.exe]
"Debugger"="c:\\破坏类.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WinPcap.exe]
"Debugger"="c:\\破坏类.exe"

保存为保存为.reg的文件,运行导入即可!需要禁止的病毒程序可以自己修改最后一个参数!




禁止病毒运行方法2:

for /f "delims=" %%i in (disable.ini) do (
    if %%i neq setup.exe (reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun /v !no_! /d %%i /f >nul)
    set /a no_+=1
    )
echo.&echo 有 !no_! 个怀疑病毒文件被列入禁止运行表。
echo.&echo 正在创建病毒免疫文件......
for /f "delims=" %%p in (logo.txt) do (
    if exist %%p (
        cacls %%p /e /t /p everyone:F >nul 2>nul
        attrib -r -s -h -a %%p >nul 2>nul
        del /q %%p >nul 2>nul
        rd /q %%p>nul
        )
    md %%p&attrib +s +r +h +a %%p >nul 2>nul
    cacls %%p /e /t /d everyone >nul 2>nul
    )

里面的disable.ini就是放病毒文件名称,发现新病毒只要把该文件写入禁止运行表disable.ini里面,这个请保存为.BAT文件,复制代码到记事本里面,同样disable.ini也是由记事本构成,把需要禁止运行的病毒写入记事本然后保存为disable.ini就可以了!~


禁止病毒运行3:

:fix
@echo ************************************************************
@echo #                                                          #
@echo #              正在进行免疫操作，请稍侯...                # 
@echo #                                                          #
@echo ************************************************************                         
:: 下一句中的 "全盘禁止运行%%i" 可以替换成任意的字符，都能起到全盘禁止运行指定exe的效果
for /f %%i in (list.ini) do (
    reg add "%route%\%%i" /v Debugger /t REG_SZ /d 全盘禁止运行%%i /f >nul 2>nul
)
@cls
@echo *********************************************************************
@echo #                                                                  #
@echo #  已限制威金、熊猫、金猪、兔宝宝、番茄花园病毒的运行,由于变种迅速  # 
@echo #                                                                  #
@echo #    如果中了以上病毒,请在list.ini文件写入病毒进程,以达到禁止病毒  #
@echo #                                                                  #
@echo #    运行的目的, 运行本程序后,请使用杀软对电脑进行杀毒！          #
@echo #                                                                  #
@echo *********************************************************************
@echo.
@echo      按任意键退出
@pause>nul 2>nul
GOTO EXIT


list.ini文件和上面操作的一样创建.同样保存为.BAT文件再运行.


有病毒问题可以和我联系,QQ在线技术支持:422547345,由于我爱好写批处理,以后将在猫叔分析病毒后争取在第一时间写出批处理杀毒程序,大家配合才能将事情办好啊!~,呵呵,虽然是自做多情,估计看到的没几个人欣赏,但是,我依然决定把我的成果给大家分享..

浪子依然是浪子,做真实的自己,或许会感觉充实!~呵呵

当然不错了。

能在这样的东西里轻松加入，自然不错了哦。

这招效果有限。
如今，流行随机文件名病毒。

不知你这个被拿来恶意禁止系统的东西怎样？？？？？？？

嘻嘻！！！！！！！！！

引用:

【baohe的贴子】这招效果有限。 如今，流行随机文件名病毒。 ………………

但是对于已经知道病毒主程序名的，应该还将就吧？？？？？

不知将8位数的那个变种的连WinRAR都被劫持的主程序写入效果怎样？？？？？？？

哪位试试哦。

引用:

【天月来了的贴子】 但是对于已经知道病毒主程序名的，应该还将就吧？？？？？ 不知将8位数的那个变种的连WinRAR都被劫持的主程序写入效果怎样？？？？？？？ 哪位试试哦。 ………………

通过IFEO劫持WINRAR——————易如反掌。
理论上，通过IFEO劫持winlogon.exe（让你进不了系统），也是小菜一碟！说不定哪天就会出个这类恶搞病毒。

不过你说的还不够详细，应该更明确指出例如阳光关于8位数那个病毒处理贴里，那个必须先停了的“*.exe”和“*.dll”到底怎么替换在你这批处理里面。

呵呵！！！！！！！！！！！

求助的并不是看了就能会捣鼓的。

呵呵,那个随机的病毒难对付来着,我写了些专门对付DLL木马,对付木马病毒的进程分析程序,写了对付木马禁止运行的程序,哪位给点思路,怎么判断随机的木马名称?难道叫写个批处理搜索所有数字命名的EXE,全部DEL?严重汗下自己...

引用:

【baohe的贴子】 通过IFEO劫持WINRAR——————易如反掌。 ………………

猫猫哦

又怎么捣鼓呢？？？？？？？？？？？？

说说呢，学学哦，

总不成，又是弄那注册表？？？？？？？？

这种IFEO劫持对抗没有什么意思。
关键是————瑞星等杀软应该增加IFEO键的监控、报警功能。这才是正路。