Board logo

标题: 病毒免疫代码 [打印本页]
作者: wert123     时间: 2008-7-6 21:17    标题: 病毒免疫代码
@echo off
set "s32_a=HBmhly.exe"
set "s32_b=qqtmd.exe"
set "w_a=cssys.exe"
for /f "tokens=1* delims==" %%i in ('set s32_') do (
attrib %windir%\system32\%%j -s -h -r
del %windir%\system32\%%j
mkdir %windir%\system32\%%j
attrib %windir%\system32\%%j +s +h +r
@ECHO Y|cacls %windir%\system32\%%j /p everyone:n >nul
)

for /f "tokens=1* delims==" %%i in ('set w_') do (
attrib %windir%\%%j -s -h -r
del %windir%\%%j
mkdir %windir%\%%j
attrib %windir%\%%j +s +h +r
@ECHO Y|cacls %windir%\%%j /p everyone:n >nul
)
exit

上面的代码是免役指定的程序代码,与大家分享,由于经常用到
不知道有没有有需要改进的地方,希望大家斧正

Last edited by wert123 on 2008-7-6 at 09:18 PM ]
作者: HAT     时间: 2008-7-6 21:43
虚拟增大病毒库,呵呵。
作者: lxmxn     时间: 2008-7-7 00:52
为什么要set+for呢?

不觉得麻烦吗?

如果文件少可以直接丢到for的遍历体里面,多了就写个配置文件,用for来读取,简洁明了。
作者: wert123     时间: 2008-7-7 13:05
对啊,我怎么就没有想到呢,我在网吧只见过exe+ini 版的,麻烦斑竹帮忙写个脚本的吧

Last edited by wert123 on 2008-7-7 at 01:15 PM ]
作者: wert123     时间: 2008-7-7 13:31
现在有时也要去网吧,刚上去时扫描没有QQ木马,等过了一两分钟,qq就自动关闭了,qq医生屏蔽了,
qq医生更新不了,好象有个tm000001文件改不了,qq医生也从网上更新不了,一查进程乱七八糟的进程一
大堆(在搜索引擎上几乎没有资料,是不是随机生成的名字啊)

我用IceSword.scr关闭了坏进程以后,可是qq医生还是一样,下载的av等专杀程序,刚一运行,就自动删除了,郁闷啊,
看来那家网吧最近的网吧不能去了啊,每次去都一样,郁闷,我太被动了啊,不敢登邮箱,不敢玩游戏,只能登个9位的qq号啊
希望大家帮我下

Last edited by wert123 on 2008-7-8 at 09:47 PM ]
作者: knoppix7     时间: 2008-7-7 19:24
不光关怪进程.
最好把桌面,IE等等都关掉.
作者: knoppix7     时间: 2008-7-7 19:25
没什么经验-0-

下个PE估计好点
作者: wxcute     时间: 2008-7-7 22:32
去网吧就自己下个QQ,网吧安装的很多都有问题。----当然首先要能下
作者: wert123     时间: 2008-7-8 18:33
pe是什么啊,这个软件做什么的,能解决局域网的问题吗
lxmxn斑竹最近不在,谁帮忙写个脚本+ini版的
作者: 523066680     时间: 2008-7-8 21:37
唉……现在的病毒 好像都不是用免疫能防的住的了,病毒无情,人有情,
看我经常看H网站的时候用来防毒的进程查杀bat
(如果是以原有的进程名执行的病毒,这个批处理就没辙拉,但是病毒总不会孤军做战,总要用到其他进程,所以,这个思路我认为还是可以的,至少我看H网的时候没中毒)
@echo off
for /f "skip=10" %%a in ('type %~nx0') do (
if not exist oldlist\%%a (md oldlist\%%a)
)
:action
for /f "skip=1" %%a in ('tasklist /nh') do (
if not exist oldlist\%%a (taskkill /t /f /im %%a &echo.%%a>>keyi.x)
)
ping -n 2 127.0>nul
goto action
System
smss.exe
csrss.exe
winlogon.exe
services.exe
lsass.exe
svchost.exe
svchost.exe
svchost.exe
explorer.exe
dllhost.exe
CltSrv.exe
nvsvc32.exe
svchost.exe
dmadmin.exe
Clsmn.exe
VM_STI.EXE
internat.exe
conime.exe
IEXPLORE.EXE
Thunder5.exe
QQ.exe
TIMPlatform.exe
Qzone.exe
PinyinUp.exe
notepad.exe
cmd.exe
cmd.exe
tasklist.exe
rundll32.exe
wmiprvse.exe
winrar.exe






------------------------------------------------------------------------------
进程部分可以自己更新
作者: wert123     时间: 2008-7-9 12:34
如果是插入进程的东东怎么办呢
我用unlock查看了后,原来explorer 还调用了 qq目录下的QQDoctor\tm000001.tsd
难怪qq更新不了,关了explorer后,qq.exe又去调用tm000001.tsd去了,都关了后,TSFSCAN.dat也是坏的,反正只有重启还原,
又和上面一样的,估计叫网管把除了这台机子的电脑都关了,也许才好

Last edited by wert123 on 2008-7-13 at 07:17 PM ]
作者: huahua0919     时间: 2008-7-9 12:43
杀毒软件和安全软件都被劫持列表劫持了,可以先在命令模式下将注册表下的劫持列表删除后在处理其他的文件信息
作者: yangjiang     时间: 2008-7-9 16:28
不知道如何用,不明白
作者: wert123     时间: 2008-7-10 22:06
唉……现在的病毒 好像都不是用免疫能防的住的了,病毒无情,人有情,
看我经常看H网站的时候用来防毒的进程查杀bat
(如果是以原有的进程名执行的病毒,这个批处理就没辙拉,但是病毒总不会孤军做战,总要用到其他进程,所以,这个思路我认为还是可以的,至少我看H网的时候没中毒)
@echo off
for /f "skip=10" %%a in ('type %~nx0') do (
if not exist oldlist\%%a (md oldlist\%%a)
)
:action
for /f "skip=1" %%a in ('tasklist /nh') do (
if not exist oldlist\%%a (taskkill /t /f /im %%a &echo.%%a>>keyi.x)
)
ping -n 2 127.0>nul
goto action
System
smss.exe
csrss.exe
winlogon.exe
services.exe
lsass.exe
svchost.exe
svchost.exe
svchost.exe
explorer.exe
dllhost.exe
CltSrv.exe
nvsvc32.exe
svchost.exe
dmadmin.exe
Clsmn.exe
VM_STI.EXE
internat.exe
conime.exe
IEXPLORE.EXE
Thunder5.exe
QQ.exe
TIMPlatform.exe
Qzone.exe
PinyinUp.exe
notepad.exe
cmd.exe
cmd.exe
tasklist.exe
rundll32.exe
wmiprvse.exe
winrar.exe






------------------------------------------------------------------------------
进程部分可以自己更新


麻烦大虾帮忙改下,我想一开机完就运行(由于病毒好象开机后过两分钟运行的),先用tasklist列出开机的进程,然后把进程固定,
因为这个时候qq和IE等都没有运行,所以要把进程单固定为:
开机刚完的进程+qq.exe+iexplore.exe+winrar.exe+NBRamCli.exe
跪求,急用,太被动了,在这网吧上网是暴露的,感觉被别人捏在手板心里。谢谢

Last edited by wert123 on 2008-7-11 at 07:19 PM ]
作者: ZJHJ     时间: 2008-7-11 07:18
可以开机后检查进程加你需要的进程作为基准.

过段时间 再检查一次,多出的就把他干掉
作者: wert123     时间: 2008-7-13 16:34
@echo off
for /f %%a in ('tasklist /nh') do (>>1.txt echo %%a)
>>1.txt echo NBRamCli.exe
>>1.txt echo qq.exe
>>1.txt echo iexplore.exe
>>1.txt echo winrar.exe
for /f %%a in (1.txt) do (
if not exist oldlist\%%a (md oldlist\%%a)
)
:action
for /f %%a in ('tasklist /nh') do (
if not exist oldlist\%%a (taskkill /t /f /im %%a &echo.%%a>>2.txt)
)
ping -n 2 127.0>nul
goto action

非要建立文件夹才行吗,有没有不需要建立文件夹的
是不是只有用if not exist检索 才更加快
作者: 523066680     时间: 2008-7-13 17:19
唉 因为我菜嘛……
我试过用文本 或用本身的末端重定向,但是,对比的时候时间长。
可能fc等的文件对比命令可以吧,但是我并不了解。


(我也是在网吧上网的 嘿嘿)

Last edited by 523066680 on 2008-7-13 at 05:21 PM ]
作者: wert123     时间: 2008-7-13 19:16
你都研究这么深了,不菜的
我想find 命令既然对比的时间长,那么fc命令说不定都包含find打包的,哈哈,
还是if not exist最好
作者: qinbuer     时间: 2008-7-13 19:21
怎么总想着用拖拉机开出宝马的速度?
作者: wert123     时间: 2008-7-13 19:32
高人说话太深奥了,我还是云里雾里,都怪语文没有学好
是借代还是借喻啊,qinbuer能不能讲清楚点,拖拉机和宝马是代表什么哈
作者: 523066680     时间: 2008-7-14 07:40
啊 ……批处理本来就是靠其他组件运行的……速度当然不像那些二进制文件咯……
而且批处理一些缺陷要靠代码的灵活来解决。大家一起努力!
作者: wert123     时间: 2008-7-14 13:53
If.Exist好,说的对
http://hi.baidu.com/523066680/blog
顶,支持

Last edited by wert123 on 2008-7-14 at 01:56 PM ]