这个批处理的功能是清除最近比较流行的病毒。这个病毒的最大的特点就是
杀毒软件打不开、上网如果搜索“杀毒”“瑞星”等和病毒有关的内容时网页
就会关闭、无法进入安全模式、无法显示隐藏文件。
该病毒会在以下目录下建立病毒源文件:
C:\Program Files\ 目录下新建一个 .inf 文件和一个 .exe 文件
C:\Program Files\Common Files\Microsoft Shared\ 目录下新建一个 .exe 文件
C:\Program Files\Common Files\System\ 目录下新建一个 .exe 文件
其它各分区根目录下建立一个autorun.inf文件和 .exe 文件
autorun.inf文件里的内容为
[AutoRun]
open=同目录下的那个隐藏的exe文件名
shell\open=打开(^&O)
shell\open\Command=同目录下的那个隐藏的exe文件名
shell\open\Default=1
shell\explore=资源管理器(^&X)
shell\explore\Command=同目录下的那个隐藏的exe文件名
如果你的情况跟我这里描述的符合的话,那么你可以把下面的红色代码复制下来,
另存为.bat后缀的文件(即批处理),然后双击运行保存的批处理就可以了。
注意:请把批处理放在桌面上运行,否则可能无法完全清除病毒。
并且在运行批处理时,请按提示来操作,请仔细看界面上的提示,否则如果
出现错误,导致文件误删,责任自负。
另外,这个批处理是针对windows xp企业版的用户的,如果你的是xp家用版
的话,那请去别人的电脑上把c:\WINDOWS\system32\taskkill.exe这个文件复制
到你的电脑上的c:\WINDOWS\system32\目录下,否则该批处理无法正常运行。
如果有什么问题的话,请在我空间里留言。
@echo off
title 晨曦---清除最新病毒
color 0a
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
echo.
echo 正在检测病毒信息,请稍候...
echo.
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
if exist *.晨曦 del *.晨曦
dir "C:\Program Files\*.*" /b /a | find ".inf">>test1.晨曦
dir "C:\Program Files\*.*" /b /a | find ".exe">>test2.晨曦
dir "C:\Program Files\Common Files\Microsoft Shared\*.*" /b /a | find ".exe">>test3.晨曦
dir "C:\Program Files\Common Files\System\*.*" /b /a | find ".exe">>test4.晨曦
for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do (
if exist %%d: dir "%%d:\*.*" /b /ah | find ".inf">>test5.晨曦
if exist %%d: dir "%%d:\*.*" /b /ah | find ".exe">>test6.晨曦
)
for /f "tokens=* delims= " %%h in ('more test1.晨曦') do set test1=%%h
for /f "tokens=* delims= " %%i in ('more test2.晨曦') do set test2=%%i
for /f "tokens=* delims= " %%j in ('more test3.晨曦') do set test3=%%j
for /f "tokens=* delims= " %%k in ('more test4.晨曦') do set test4=%%k
for /f "tokens=* delims= " %%l in ('more test5.晨曦') do set test5=%%l
for /f "tokens=* delims= " %%m in ('more test6.晨曦') do set test6=%%m
del *.晨曦 /q
cls
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
echo.
echo 该病毒资料
echo.
echo 该病毒建立的包括的源文件如下:
echo.
echo 病毒文件全路径 大小(字节)
echo C:\Program Files\%test1% 169
echo C:\Program Files\%test2% 28,863
echo c:\Program Files\Common Files\Microsoft Shared\%test3% 28,863
echo C:\Program Files\Common Files\System\%test4% 28,863
echo 其它所有分区:\%test5% 169
echo 其它所有分区:\%test6% 28,863
echo.
echo %test5%和%test1%文件里的内容
echo.
echo [AutoRun]
echo open=%test6%
echo shell\open=打开(^&O)
echo shell\open\Command=%test6%
echo shell\open\Default=1
echo shell\explore=资源管理器(^&X)
echo shell\explore\Command=%test6%
echo.
echo 该病毒的后果:
echo 你的杀毒软件会无法打开,另外只要你的文件名中如果是"病毒","杀毒","瑞星"等和病毒.
echo 有关的字眼时,你这个文件打开之后会马上被关闭.网页中一搜索这些字眼也会马上关闭.
echo 可能还有其它的情况,我这里就不详细说明了.
echo.
echo 注意:因为该病毒与exeplorer.exe关联,所以在杀毒时,你的桌面
echo 会出现暂时只剩背景图片,那时请不要结束该程序,让它继续运行。
echo 到该程序运行结束之后,会自然显示出桌面的。
echo.
echo 注意:如果上面的病毒文件名没有显示出来的话,说明你的电脑里没有类似病毒,
echo 请直接关闭该程序,退出即可,否则,你的电脑里的一些文件可能会被误删。
echo.
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
echo.
set /p tmp=以上是该病毒的信息,如果要清除该病毒,请回车键开始杀毒...
rem 结束病毒进程
for %%d in (%test2%,%test3%,%test4%,%test6%) do taskkill /im %%d /f
rem 去除病毒源文件的 系统、隐藏、只读 属性,然后删除它们。
for %%d in (%test1%,%test2%) do if exist "C:\Program Files\%%d" attrib -s -h -r "C:\Program Files\%%d"
for %%d in (%test1%,%test2%) do if exist "C:\Program Files\%%d" del "C:\Program Files\%%d" /q
if exist "C:\Program Files\Common Files\Microsoft Shared\%test3%" attrib -s -h -r "C:\Program Files\Common Files\Microsoft Shared\%test3%"
if exist "C:\Program Files\Common Files\Microsoft Shared\%test3%" del "C:\Program Files\Common Files\Microsoft Shared\%test3%" /q
if exist "C:\Program Files\Common Files\System\%test4%" attrib -s -h -r "C:\Program Files\Common Files\System\%test4%"
if exist "C:\Program Files\Common Files\System\%test4%" del "C:\Program Files\Common Files\System\%test4%" /q
for %%f in (%test5%,%test6%) do for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\%%f attrib -s -h -r %%d:\%%f
for %%f in (%test5%,%test6%) do for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\%%f del %%d:\%%f /q
rem 删除病毒的启动项
reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v bjifays /f
reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v hsomklg /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /d 1 /f
rem 恢复进入安全模式屏幕
reg add "HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}" /ve /d DiskDrive /f
reg add "HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}" /ve /d DiskDrive /f
reg add "HKLM\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}" /ve /d DiskDrive /f
reg add "HKLM\SYSTEM\ControlSet003\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}" /ve /d DiskDrive /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}" /ve /d DiskDrive /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}" /ve /d DiskDrive /f
rem 删除病毒在注册表中添加的关联
if exist test.晨曦 del test.晨曦
reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options">test.晨曦
for /f "tokens=* delims= skip=4" %%j in (test.晨曦) do (
reg delete "%%j" /v debugger /f
cls
if exist test.晨曦 del test.晨曦
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
echo.
echo 正在清除由病毒添加的注册表项,请稍候...
echo.
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
)
if exist test.晨曦 del test.晨曦
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft^\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path" /v Debugger /d "ntsd -d" /f
cls
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
echo.
echo 病毒清除完毕,按回车键开始解决分区无法双击打开的问题.
echo 所有操作完毕之后,请重装杀毒软件,否则你的杀毒软件还是
echo 无法正常使用。
echo.
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
set /p test=
cls
@echo off
title 晨曦--解决分区无法打开
color 0a
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
echo.
echo 例如:D盘无法打开则输入 d,你也可以
echo 输入d,e,f这样来同时对d,e,f等多个分区操作.
echo.
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
set /p input=[请输入无法打开的分区的盘符]
if /i "%input%"=="c" goto :特殊
for /d %%i in (%input%) do cacls %%i:\%test5% /c /e /p everyone:f
for /d %%i in (%input%) do attrib -s -h -r %%i:\%test5%
for /d %%i in (%input%) do del %%i:\%test5% /q
reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /t reg_dword /d 1 /f
cls
for /d %%i in (%input%) do chkdsk %%i: /f /x
cls
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
echo.
echo 操作结束,按回车键退出该程序...
echo.
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
set /p tmp=
:exit
exit
:特殊
attrib -s -h -r %input%:\%test5%
del %input%:\%test5% /q
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
echo.
echo 操作成功结束,请重启,然后就可以双击就可以打开了。
echo 如果重启之后,还是无法双击打开的话,说明你的电脑
echo 里还有病毒,请先杀毒。然后再运行该程序。
echo.
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
set /p tmp= 操作结束,按回车键退出该程序。
auto最近很都中了这种病毒,特点双击打不开盘.多人
解决方案
1.下载一个江民木马专杀很小好用
2.
1、打开任务管理器(ctrl+alt+del或者任务栏右键点击也可),终止所有ravmone.exe的进程
2、进入c:\windows,删除其中的ravmone.exe
3、进入c:\windows,运行regedit.exe,在左边依次点开HK_Loacal_Machine\software\Microsoft\windows\CurrentVersion\Run\,在右边可以看到一项数值是c:\windows\ravmone.exe的,把他删除掉
4、完成后,病毒就被清除了。
对移动存储设备,如果中毒,则把文件夹选项中隐藏受保护的操作系统文件钩掉,点上显示所有文件和文件夹,点击确定,然后在移动存储设备中会看到如下几个文件,autorun.inf,msvcr71.dl,ravmone.exe,都删除掉,还有一个后缀为tmp的文件,也可以删除,完成后,病毒就清除了。
至此为止,您机器上的“木马”就算完全解除了.
现在是您的移动设施,首先你您的移动设施拔出,再插入(这个步骤不能少).在我的电脑中该盘符上按住鼠标右键.检查第一个选项是否为"Auto“,如果是,那就是该盘已中马,如果不是,可以放心双击使用.
双击无法打开硬盘
1.
解决方法:右键打开其中一受感染的盘符,在工具栏---文件夹选项--查看下,
选显示所有文件和文件夹,同时去除隐藏受保护的系统文件前的勾,你会发现在
你的盘符下多了一antorun.inf
的文件,打开我们可以看到如下的内容:
[AUTORUN]
open=Iexplorers.exe
这句话的意思就是当你双击盘符时自动打开写入注册表中的病毒程序文件,
即使病毒被杀死,但是注册表的信息依然存在,这就是无法打开盘符的原因,
知道了原因,那么我们就来删除病毒在注册表中的残留信息,开始---运行中
输入regedit打开注册表编辑程序,ctrl+f打开查找命令,输入Iexplorers.exe,
点查找,接下来会在注册表中找到此键值.一般在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
\MountPoints\下.
2.
对于分区不能双击打开者
开始》》运行
输入regedit
找到[HKEY_CLASSES_ROOT\Drive\shell]将shell下的全部删除
然后关闭注册表
按键盘F5刷新
双击分区再看
对于文件夹不能双击打开者
开始》》运行
输入regedit
找到[HKEY_CLASSES_ROOT\Directory\shell]将shell下的全部
删除
然后关闭注册表
按键盘F5刷新
双击分区再看
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
\MountPoints\F\Shell\command\下发现此键值,把shell子键删除即可.f3查找
下一个,重复操作,直到所有的都清除.f5刷新,除盘符下的antorun.inf文件.
问题即可解决!
双击d盘(或者其他盘)打不开,只能右键打开,右键多了一个“自动播放”,怎么解决?
答:我的电脑-工具-文件夹选项-查看-显示所有文件和文件夹,然后进入d盘,把autorun.inf删除,重启即可。
如果找不到autorun.inf,那么
1、开始-->运行-->cmd(打开命令提示符)
2、dir
autorun.inf
/a
(没有参数a是看不到的,a是显示所有的意思),此时你会发现一个autorun.inf文件
3、attrib
autorun.inf
-s
-h
-r
去掉autorun.inf文件的系统、只读、隐藏属性,否则无法删除。
4、del
autorun.inf
重启即可。
如果双击某个盘符时有错误提示,说找不到某文件,比如说找不到abc.exe,这时需到注册表中搜索abc.exe(一般是在SHELL/COMMAND下面),找到后删除整个SHELL子键就可以了。
AutoRun病毒专杀工具
http://dl.360safe.com/killer_autorun.exe 由于计算机在系统运行时会自动搜索盘符目录下的Autorun.inf配置文件,并根据其内的文件自动运行加载其内设置好的命令。其实Autorun.inf就是一个文本形式的系统配置文件,用户可以用文本编辑软件进行编辑(注:该文件只能位于驱动器的根目录下时,才能实现启动加载),该文件包含了需要自动运行的命令,如需要运行的程序文件、改变的驱动器图标、可选快捷菜单内容等等。
病情描述
当用户在选择:工具-文件夹选项-查看-显示所有文件和文件夹时,计算机无法显视出autorun.inf文件,任意点击C、D、E盘符时会另外打开窗口,而U盘、MP3等第三方存储盘更是如此,插入计算机后,画面文件一闪即过,想查看主目录下的autorun.inf文件,却发现文件以悄然不知所踪。当用用winrar查看时发现C、D等根目录下有autorun.inf和tel.xls.exe两个文件,盘符右击,目录中出现AUTO或两个打开字样(粗字体,细字体)信息等情况,利用命令msconfig查看开机启动项中发现有莫明其妙的SocksA.exe。种种这一切给用户带来了很大程度上的困绕。
解决方法
面对以上的情况,有些用户只能重新GHOST计算机了。但根据笔者的亲身经历方法还是有很多,这里提供一种方法让用户尝试。
http://hi.baidu.com/enyand/blog/item/79cc4a58b9cbd282800a18a3.html
您的U盘、移动硬盘是否曾经中毒?是否曾经双击打不开、右键有Auto字样?是否不得不格式化磁盘而造成资料丢失?USBKiller为以上问题提供专业解决方案!
1.独创SuperClean高效强力杀毒引擎,查杀auto.exe、AV终结者、rising等上百种顽固U盘病毒,保证95%以上查杀率
2.国内首创对电脑实行主动防御,自动检测清除插入U盘内的病毒,杜绝病毒通过U盘感染电脑
3.免疫功能可以让你制作自己的防毒U盘
4.解除U盘锁定状态,解决拔出时无法停止设备的问题
5.进程管理让你迅速辨别并终止系统中的可疑程序
6.完美解决双击无法打开磁盘的问题
7.兼容其它杀毒软件,可配合使用
http://hi.baidu.com/enyand/blog/item/534ea1f313d45753352accc2.htm
没有明显的症状、不过在磁盘根目录会有一个autorun.inf