Board logo

标题: [安全相关] 批处理版同名文件夹病毒专杀(2010.5.28更新) [打印本页]

作者: cjiabing    时间: 2010-5-29 12:34     标题: 批处理版同名文件夹病毒专杀(2010.5.28更新)

本帖最后由 cjiabing 于 2011-11-18 23:44 编辑

       做了些修改,部分增强和优化,但主体和构思没改,至于杀毒能力,我遇到过的该类病毒基本上都杀得,有可能对部分进程误杀,如发现其它问题请留言。
      
  1. @echo off&setlocal EnableDelayedexpansion
  2. ::by cjiabing 2010-05-28 CMD@XP
  3. ::from 甲兵时代: http://hi.baidu.com/cjiabing
  4. :甲兵时代同名文件夹病毒专杀工具
  5. title 甲兵时代同名文件夹病毒专杀工具(升级版V20100610)
  6. if not exist %SYSTEMDRIVE%\可疑文件隔离 md %SYSTEMDRIVE%\可疑文件隔离
  7. if not exist  %SYSTEMDRIVE%\可疑文件隔离\%0 copy %0 %SYSTEMDRIVE%\可疑文件隔离>nul
  8. for /f "skip=1 " %%a in ('wmic logicaldisk where "drivetype='2'" get deviceid') do (set tvd=%%a)
  9. if not exist !tvd!\%0 copy %0 !tvd!>nul
  10. MODE con: COLS=80 LINES=30
  11. COLOR 3E
  12. cls
  13. echo                        ╭═══════════════╮
  14. echo                        ║         甲 兵 时 代          ║
  15. echo  ╭══════════┤    同名文件夹病毒专杀工具    ├══════════╮
  16. echo  ║                    ║ http://hi.baidu.com/cjiabing ║                    ║
  17. echo  ║                    ╰═══════════════╯                    ║
  18. echo  ║                                                                          ║
  19. echo  ║  ★ 使用说明:                                                           ║
  20. echo  ║  ◇ 中毒特征:1、移动盘和硬盘中的文件夹被隐藏;                          ║
  21. echo  ║               2、病毒伪装成带EXE结尾的同名“文件夹”;                   ║
  22. echo  ║               3、病毒扩展名为.EXE,大小为1MB左右;                       ║
  23. echo  ║               4、出现数字和字母随机组合的6位数进程;                     ║
  24. echo  ║               5、它潜伏在电脑和移动盘上伺机自动传播;                    ║
  25. echo  ║               6、新闻报道80%%%的办公电脑和移动盘中过该毒;                 ║
  26. echo  ║  ◇ 本工具几经升级,能有效发现和清除病毒,修复被隐藏的文件夹。           ║
  27. echo  ║  ◇ 适用于个人电脑,但并不适用于所有电脑系统,办公电脑请慎用。           ║
  28. echo  ║  ◇ 本工具功能有限,使用须自担风险,否则请退出。                         ║
  29. echo  ║  ◇ 免费共享,敬请关注更新(甲兵时代: http://hi.baidu.com/cjiabing)。   ║
  30. echo  ║                                                                          ║
  31. echo  ╰═════════════════════════════════════╯
  32. :start
  33. echo.
  34. echo      ★ 功能选项:
  35. echo        【1】杀毒模式:同时清除系统和优盘中的病毒(推荐)。
  36. echo        【2】修复模式:显示和隐藏文件,清除autoruns和desktop,禁用自动播放。
  37. echo        【3】清理模式:结束非系统进程和清理系统临时文件。
  38. echo        【4】一键模式:一键完全清理进程、启动项、U盘EXE文件(慎用)。
  39. echo        【0】退出。
  40. set /p inf=     ◇ 请输入序号,并回车:
  41. if "%inf%" == "1" goto yjsd
  42. if "%inf%" == "2" goto auto
  43. if "%inf%" == "3" call :yjjsps
  44. if "%inf%" == "4" goto yjms
  45. if "%inf%" == "0" goto exit
  46. echo.
  47. goto 甲兵时代同名文件夹病毒专杀工具
  48. :yjsd
  49. cls
  50. echo                        ╭═══════════════╮
  51. echo                        ║         甲 兵 时 代          ║
  52. echo  ╭══════════┤    同名文件夹病毒专杀工具    ├══════════╮
  53. echo  ║                    ║ http://hi.baidu.com/cjiabing ║                    ║
  54. echo  ║                    ╰═══════════════╯                    ║
  55. echo  ║                                                                          ║
  56. echo  ║                                                                          ║
  57. echo  ║                          ◇◇◇杀 毒 模 式◇◇◇                         ║
  58. echo  ║                                                                          ║
  59. echo  ║    ★ 使用说明【请认真阅读】:                                           ║
  60. echo  ║                                                                          ║
  61. echo  ║    ◇ 1、以提示和备份的交互方式执行杀毒,你可以知晓程序执行了哪些操作;  ║
  62. echo  ║       2、本模式并非绝对安全,只是尽可能地避免误杀;                      ║
  63. echo  ║    ◇ 3、为确保安全,可疑文件被隔离至“%SYSTEMDRIVE%\可疑文件隔离”                 ║
  64. echo  ║       4、如出现故障可从“可疑文件隔离”中恢复被隔离的文件;              ║
  65. echo  ║    ◇ 5、进程名称含有数字的除360tray.exe和rundll32.exe外都将被隔离;     ║
  66. echo  ║       6、请关闭其它程序后再执行杀毒,杀毒结束后请检查是否存在误杀;      ║
  67. echo  ║    ◇ 7、启动项将全部清理,自动备份至隔离目录中;                        ║
  68. echo  ║    ◇ 8、移动盘中与文件夹名字相同的EXE程序将被清理;                     ║
  69. echo  ║       9、移动盘中的EXE程序大小小于2M的将被清理;                         ║
  70. echo  ║       10、请备份好移动盘后再执行杀毒,杀毒结束后请检查是否存在误杀;     ║
  71. echo  ║                                                                          ║
  72. echo  ╰═════════════════════════════════════╯
  73. echo.
  74. echo        ◇ 确认开始杀毒请输入【 Y 】并回车
  75. echo        ◇ 移动盘杀毒请输入【 U 】并回车
  76. set /p yqq=       ◇ 返回请输入【 B 】并回车:
  77. if /i "%yqq%"=="b" goto 甲兵时代同名文件夹病毒专杀工具
  78. if /i "%yqq%"=="y" goto killxt
  79. if /i "%yqq%"=="u" goto killup
  80. if /i "%yqq%"=="" goto 甲兵时代同名文件夹病毒专杀工具
  81. goto yjsd
  82. :killxt
  83. call :killxp
  84. call :killup
  85. call :killex
  86. goto 甲兵时代同名文件夹病毒专杀工具
  87. :yjms
  88. cls
  89. echo                        ╭═══════════════╮
  90. echo                        ║         甲 兵 时 代          ║
  91. echo  ╭══════════┤    同名文件夹病毒专杀工具    ├══════════╮
  92. echo  ║                    ║ http://hi.baidu.com/cjiabing ║                    ║
  93. echo  ║                    ╰═══════════════╯                    ║
  94. echo  ║                                                                          ║
  95. echo  ║                                                                          ║
  96. echo  ║                         ◇◇◇一 键 模 式◇◇◇                          ║
  97. echo  ║                                                                          ║
  98. echo  ║    ★ 使用说明【请认真阅读】:                                           ║
  99. echo  ║                                                                          ║
  100. echo  ║       ◇ 使用前请先阅读“杀毒模式”中的使用说明;                        ║
  101. echo  ║       ◇ 本操作具有一定的风险,请慎用;                                  ║
  102. echo  ║       ◇ 一键模式包括以下内容:                                          ║
  103. echo  ║           ★一键清理U盘中的EXE、inf、vbe类型文件;                       ║
  104. echo  ║           ★一键结束非系统进程;                                         ║
  105. echo  ║           ★一键清理系统临时文件;                                       ║
  106. echo  ║           ★一键清理自启动项;                                           ║
  107. echo  ║           ★一键清理任务计划:                                           ║
  108. echo  ║           ★一键清理常见同名文件夹病毒:                                 ║
  109. echo  ║           ★一键免疫(清除autoruns和desktop,禁用自动播放)              ║
  110. echo  ║       ◇ 请事先做好检查和备份再开始。                                    ║
  111. echo  ║                                                                          ║
  112. echo  ╰═════════════════════════════════════╯
  113. echo.
  114. echo        ◇ 确定使用一键模式杀毒并自担风险请输入【 OK 】并回车;
  115. echo        ◇ 返回请输入【 B 】并回车;
  116. echo.
  117. set /p ikk=          请选择:
  118. if /i %ikk%==b (goto 甲兵时代同名文件夹病毒专杀工具)
  119. if /i %ikk%==ok (goto killyy) else (goto 甲兵时代同名文件夹病毒专杀工具)
  120. goto yjsd
  121. :killyy
  122. call :killxp1
  123. call :killtasks
  124. call :yxjcxf
  125. call :rwglq
  126. call :killup121
  127. goto 甲兵时代同名文件夹病毒专杀工具
  128. :killxp
  129. cls
  130. echo.
  131. echo.
  132. echo.
  133. echo     ★ 以下部分是系统杀毒,请关闭其它程序后开始杀毒
  134. echo.
  135. echo     ◇ 杀毒之后,可疑文件将被隔离至“%SYSTEMDRIVE%\可疑文件隔离”
  136. echo     ◇ 如出现故障可从“可疑文件隔离”中恢复被隔离的文件
  137. echo     ◇ 进程名称含有数字的除360tray.exe和rundll32.exe外都将被隔离
  138. echo.
  139. echo.
  140. echo.
  141. pause
  142. :killxp1
  143. if %inf%==4 call :killpr
  144. if %inf%==4 call :yjjsps
  145. if %inf%==1 call :killpr1
  146. call :killser
  147. call :killgl
  148. call :killwj
  149. call :killxpbd
  150. call :killyd
  151. call :killqd
  152. call :xsycdp
  153. goto :eof
  154. :killpr
  155. echo.
  156. echo     ◇ 正在检查进程和结束可疑进程……
  157. for /f %%a in ('tasklist') do echo %%a |findstr "[0-9]" |findstr /i /v "360tray.exe rundll32.exe" >>_psyf.txt
  158. for /f %%a in (_psyf.txt) do echo 发现可疑进程:%%a   &taskkill /f /im %%a
  159. echo.
  160. echo     ◇ 正在关闭桌面进程,稍后为你重新打开……
  161. taskkill /f /im XP*
  162. tskill explorer
  163. taskkill /f /im explorer.exe
  164. taskkill /f /t /im IEXPLORE.EXE
  165. taskkill /f /t /im expl0rer.exe
  166. taskkill /f /t /im systen.exe
  167. goto :eof
  168. :killser
  169. echo.
  170. echo     ◇ 正在停止可疑的服务项……
  171. sc stop DNSSystem
  172. net stop  DNSSystem
  173. goto :eof
  174. :killpr1
  175. echo.
  176. echo     ◇ 正在检查进程和结束可疑进程……
  177. echo.
  178. echo        常见同名病毒由字母和数字随机组成6位或8位的进程,形如:
  179. echo        60B650.EXE、96015E.EXE、XP-F84AA1B5.EXE  
  180. echo        某些常见系统、驱动和程序的进程数字具有一定的规则和意义,类似:
  181. echo        360tray.exe、nvsvc32.exe、rundll32.exe、tsnpstd3.exe、Ati2evxx.exe
  182. echo.
  183. if exist _psyf1.txt del _psyf1.txt
  184. for /f %%a in ('tasklist') do echo %%a |findstr "[0-9]" |findstr /i /v "360tray.exe rundll32.exe" >>_psyf1.txt
  185. for /f %%a in (_psyf1.txt) do (
  186. echo.&echo      发现可疑进程:%%a   &set /p ugh=     请检查是否病毒,结束并隔离【y】,忽略【n】:&if /i !ugh!==y (taskkill /f /im %%a&echo %%a >>_psyf.txt)&if /i !ugh!==n (echo    忽略 %%a)
  187. )
  188. if exist _psyf1.txt del _psyf1.txt
  189. echo.
  190. echo     ◇ 正在关闭桌面进程,稍后为你重新打开……
  191. taskkill /f /im XP*
  192. tskill explorer
  193. taskkill /f /im explorer.exe
  194. taskkill /f /t /im IEXPLORE.EXE
  195. taskkill /f /t /im expl0rer.exe
  196. taskkill /f /t /im systen.exe
  197. goto :eof
  198. :killgl
  199. echo.
  200. echo     ◇ 正在创建可疑文件隔离说明……
  201. if not exist %SYSTEMDRIVE%\可疑文件隔离\可疑文件路径.txt (
  202. echo.>%SYSTEMDRIVE%\可疑文件隔离\可疑文件路径.txt
  203. echo.>>%SYSTEMDRIVE%\可疑文件隔离\可疑文件路径.txt
  204. echo                  可疑文件隔离说明>>%SYSTEMDRIVE%\可疑文件隔离\可疑文件路径.txt
  205. echo.>>%SYSTEMDRIVE%\可疑文件隔离\可疑文件路径.txt
  206. echo.          >>%SYSTEMDRIVE%\可疑文件隔离\可疑文件路径.txt
  207. echo     从系统根目录中搜索到的可疑文件被隔离到“%SYSTEMDRIVE%\可疑文件隔离”,它们很可能是病毒,也可能是其它程序文件,为防止误删特将它们备份。假如杀毒后系统出现故障,请重命名相关可疑文件(去掉“_重命名_日期”),根据以下记录的时间和路径拷贝该文件到文件原来所在的目录。>>%SYSTEMDRIVE%\可疑文件隔离\可疑文件路径.txt
  208. echo.
  209. echo     本程序将进程名称含有数字的进程视为可疑进程,除“360tray^.exe”和“rundll32^.exe”外都将被隔离。一些打印机、驱动等进程含有数字的不可避免的被隔离,杀毒前请手动结束这些进程,或者杀毒后手动恢复。假如用于办公电脑,请注意检查和备份驱动程序,并且慎用一键模式。>>%SYSTEMDRIVE%\可疑文件隔离\可疑文件路径.txt
  210. echo     可信进程举例:360tray.exe、nvsvc32.exe、rundll32.exe、tsnpstd3.exe、Ati2evxx.exe>>%SYSTEMDRIVE%\可疑文件隔离\可疑文件路径.txt
  211. echo     病毒名称举例:XP-F84AA1B5.EXE;XP-D89C5E64.EXE;XP-23520AE1.EXE……;96015E.exe;5E6694.exe;1F4B56.EXE……>>%SYSTEMDRIVE%\可疑文件隔离\可疑文件路径.txt
  212. echo     病毒通常位于C:\WINDOWS\system32,病毒自建一个文件夹,名称由六位数字和字母随机组成,比如 C:\WINDOWS\system32\5E6694\1F4B56.EXE……>>%SYSTEMDRIVE%\可疑文件隔离\可疑文件路径.txt
  213. echo     自愿使用本工具须自担风险,任何使用本工具造成的损失本人一概不负责。>>%SYSTEMDRIVE%\可疑文件隔离\可疑文件路径.txt
  214. echo                                      by cjiabing>>%SYSTEMDRIVE%\可疑文件隔离\可疑文件路径.txt
  215. echo.>>%SYSTEMDRIVE%\可疑文件隔离\可疑文件路径.txt
  216. echo.>>%SYSTEMDRIVE%\可疑文件隔离\可疑文件路径.txt
  217. )
  218. goto :eof
  219. :killwj
  220. if not exist "%SYSTEMDRIVE%\可疑文件隔离\!date:~0,10!" md %SYSTEMDRIVE%\可疑文件隔离\!date:~0,10!
  221. echo.
  222. echo     ◇ 正在转移可疑文件,请注意弹出的说明……
  223. for /f %%a in (_psyf.txt) do (wmic process where name="%%a" get ExecutablePath |find /i ".exe")>>_fpath.txt
  224. for /f %%a in (_fpath.txt) do (
  225. if exist %%a (attrib -h -r -s -a %%a)&echo !date! !time!: %%a>>%SYSTEMDRIVE%\可疑文件隔离\可疑文件路径.txt
  226. set name001=%%~nxa
  227. set name002=%%~dpa
  228. set name003=!name001!_重命名_!date!
  229. if exist %%a ren "%%a" !name003!
  230. set name004="!name002!!name003!"
  231. move !name004! %SYSTEMDRIVE%\可疑文件隔离\!date:~0,10!
  232. )
  233. for /f "delims=" %%a in (_psyf.txt) do (
  234. for /r %SYSTEMROOT%\system32   %%i in (%%a) do (
  235. if exist %%i (attrib -h -r -s -a %%i)&echo !date! !time!: %%i>>%SYSTEMDRIVE%\可疑文件隔离\可疑文件路径.txt
  236. set name001=%%~nxi
  237. set name002=%%~dpi
  238. set name003=!name001!_重命名_!date!
  239. if exist %%i (ren "%%i" "!name003!")
  240. set name004="!name002!!name003!"
  241. if exist !name004! move !name004! %SYSTEMDRIVE%\可疑文件隔离\!date:~0,10!
  242. )
  243. )
  244. goto :eof
  245. :killxpbd
  246. echo.
  247. echo     ◇ 正在清理病毒,请稍候……
  248. for /r %SYSTEMROOT%\system32 %%i in (XP-*.EXE,winvcreg.exe,og.dll,ul.dll,og.EDT,21c0.EDT,21c0.inf,69fe.inf,com.run,dp1.fne,eAPI.fne,HtmlView.fne,internet.fne,krnln.fnr,RegEx.fnr,shell.fne,spec.fne,msdll.dll,Wsctf.exe,expl0rer.exe) do    (
  249. if exist %%i (attrib -h -r -s %%i) & (DEL /F /Q /A %%i)
  250. )>nul
  251. for /r %temp% %%i in (XP-*.EXE,winvcreg.exe,og.dll,ul.dll,og.EDT,21c0.EDT,21c0.inf,69fe.inf,com.run,dp1.fne,eAPI.fne,HtmlView.fne,internet.fne,krnln.fnr,RegEx.fnr,shell.fne,spec.fne,msdll.dll,Wsctf.exe,expl0rer.exe) do    (
  252. if exist %%i (attrib -h -r -s %%i) & (DEL /F /Q /A %%i)
  253. )>nul
  254. for /r %temp% %%i in (SuCH0ST.exe,Systen.exe,Systen32.exe,exl0rer.exe,SVCH0S.exe) do    (
  255. if exist %%i (attrib -h -r -s %%i) & (DEL /F /Q /A %%i)
  256. )>nul
  257. attrib -h -r -s %TEMP%\E_4
  258. rd %TEMP%\E_4\
  259. attrib -h -s -r -a "%systemroot%\system32\down.exe" &del /q /f "%systemroot%\system32\down.exe"
  260. attrib -h -s -r -a "%systemroot%\system32\ativcox.dll" &del /q /f "%systemroot%\system32\ativcox.dll"
  261. attrib -h -s -r -a "%systemroot%\system32\mail3.vbe" &del /q /f "%systemroot%\system32\mail3.vbe"
  262. attrib -h -s -r -a "%systemroot%\system32\attusb.dll" &del /q /f "%systemroot%\system32\attusb.dll"
  263. attrib -h -s -r -a "%systemroot%\system32\autousb.bat" &del /q /f "%systemroot%\system32\autousb.bat"
  264. attrib -h -s -r -a "%systemroot%\system32\win.bat" &del /q /f "%systemroot%\system32\win.bat"
  265. attrib -r -h -s -a "C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc9.exe"
  266. attrib -r -h -s -a "C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc10.exe"
  267. attrib -r -h -s -a "C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc11.exe"
  268. DEL /F /Q /A   "C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc9.exe"
  269. DEL /F /Q /A   "C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc10.exe"
  270. DEL /F /Q /A   "C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc11.exe"
  271. attrib -r -h -s -a  %systemroot%\system32\wbem\.vbs
  272. del /a/f/q %systemroot%\system32\wbem\.vbs
  273. attrib -r -h -s -a  %systemroot%\system32\.vbs
  274. del /a/f/q %systemroot%\system32\.vbs
  275. attrib -r -h -s -a  c:\windows\system32\wbem\irjit.dll
  276. del /a/f/q   c:\windows\system32\wbem\irjit.dll
  277. goto :eof
  278. :killyd
  279. echo.
  280. echo     ◇ 正在全盘搜索同名文件,请稍候……
  281. For %%a In (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) Do (
  282. if exist %%a:\ (
  283. for /f "tokens=3,* delims= " %%i in ('"dir /a /l %%a:\"') do (
  284. if %%i==^<DIR^> (
  285. for /f "tokens=3 delims= " %%e in ('"if exist "%%a:\%%j.exe" dir /a/w "%%a:\%%j.exe""') do (
  286. if %%e lss 2000000 (
  287. if exist "%%a:\%%j.exe" attrib -h -a -s -r "%%a:\%%j.exe"
  288. if exist "%%a:\%%j.exe" ren "%%a:\%%j.exe" "%%j.exe_重命名_!date!"
  289. echo !date! !time!: "%%a:\%%j.exe">>%SYSTEMDRIVE%\可疑文件隔离\可疑文件路径.txt
  290. if exist "%%a:\%%j.exe_重命名_!date!" move "%%a:\%%j.exe_重命名_!date!" %SYSTEMDRIVE%\可疑文件隔离\!date:~0,10!
  291. if exist "%%a:\%%j" attrib -h -a -s -r "%%a:\%%j"
  292. )
  293. )
  294. )
  295. )
  296. )
  297. )
  298. :killqpss
  299. echo.
  300. echo     ◇ 正在全盘搜索可疑文件,请稍候……
  301. For %%a In (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) Do (
  302. if exist %%a:\autorun.inf del /a/f/q %%a:\autorun.inf
  303. if exist %%a:\ (
  304. for /f "tokens=4* delims= " %%i in ('"dir /a /l %%a:\"') do (
  305. set ppqq=%%i
  306. if "!ppqq:~-4,4!"==".vbe" (attrib -a -r -h -s  "%%a:\!ppqq!" &move "%%a:\!ppqq!" %SYSTEMDRIVE%\可疑文件隔离\!date:~0,10!)
  307. )
  308. )
  309. )
  310. goto :eof
  311. :killqd
  312. echo.
  313. echo     ◇ 正在清理启动项……
  314. set timecd=%time:~0,2%:%time:~3,2%
  315. REG EXPORT HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run  启动项备份.reg
  316. move 启动项备份.reg  %SYSTEMDRIVE%\可疑文件隔离\!date:~0,10!\
  317. ren "%SYSTEMDRIVE%\可疑文件隔离\!date:~0,10!\启动项备份.reg"  "启动项备份%timecd%.reg"
  318. attrib -r -h -s -a "%USERPROFILE%\「开始」菜单\程序\启动\   .lnk"
  319. del "%USERPROFILE%\「开始」菜单\程序\启动\   .lnk" /q /f
  320. for /f "delims=." %%a in (_psyf.txt) do (reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v %%a /f)
  321. Del "%ALLUSERSPROFILE%\「开始」菜单\程序\启动\*.*" /q /f
  322. Del "%USERPROFILE%\「开始」菜单\程序\启动\*.*" /q /f
  323. Del "C:\Docume~1\Default User\「开始」菜单\程序\启动\*.*" /q /f
  324. del _psyf.txt,_fpath.txt
  325. echo.
  326. echo     ◇ 正在为你重新打开桌面,请注意阅读说明……
  327. start %SYSTEMROOT%\explorer.exe
  328. start %SYSTEMDRIVE%\可疑文件隔离\可疑文件路径.txt
  329. goto :eof
  330. :killtasks
  331. echo.>>%SYSTEMDRIVE%\可疑文件隔离\可疑文件路径.txt
  332. echo !date!任务计划tasks路径:%SYSTEMROOT%\tasks>>%SYSTEMDRIVE%\可疑文件隔离\可疑文件路径.txt
  333. dir /b %SYSTEMROOT%\tasks\*.job>>%SYSTEMDRIVE%\可疑文件隔离\可疑文件路径.txt
  334. echo.>>%SYSTEMDRIVE%\可疑文件隔离\可疑文件路径.txt
  335. move  %SYSTEMROOT%\tasks\*.job   %SYSTEMDRIVE%\可疑文件隔离\!date:~0,10!
  336. goto :eof
  337. :xsycdp
  338. echo.
  339. echo     ◇ 正在恢复被隐藏的文件夹,请稍候……
  340. for /f "skip=1" %%i in ('wmic logicaldisk where "drivetype='3'" get caption') do (
  341. for /f "delims="  %%a in ('dir /b /a:d  %%i') do if exist %%i\%%a (attrib -r -h -s -a /s /d "%%i\%%a")
  342. if exist "%%i\System Volume Information" (attrib +h +s +a /s /d "%%i\System Volume Information")
  343. if exist "%%i\RECYCLER" (attrib +h +s +a /s /d "%%i\RECYCLER")
  344. if exist "%%i\RECYCLEd" (attrib +h +s +a /s /d "%%i\RECYCLEd")
  345. )
  346. goto :eof
  347. :killup
  348. cls
  349. echo.
  350. echo.
  351. for /f "skip=1 " %%a in ('wmic logicaldisk where "drivetype='2'" get deviceid') do (set tvd=%%a&echo     你的移动盘是:!tvd!
  352. if not exist !tvd!\%0 copy %0 !tvd!>nul 2>nul
  353. )
  354. echo.
  355. echo.
  356. echo     ★ 以下清理移动盘中的EXE病毒,请插入移动盘继续!
  357. echo.
  358. echo     ◇ 移动盘中与文件夹名字相同的EXE程序将被清理。
  359. echo     ◇ 移动盘中的EXE程序大小小于2M的将被清理。
  360. echo     ◇ 请做好备份后继续。
  361. echo.
  362. echo.
  363. echo.
  364. pause
  365. :killup121
  366. echo.
  367. echo     ◇ 正在检测移动盘……
  368. for /f "skip=1 " %%a in ('wmic logicaldisk where "drivetype='2'" get deviceid') do (set tvd=%%a&call :ydpf)
  369. if %inf%==4 call :killuexe
  370. if %inf%==4 call :clearauto1
  371. call :killex
  372. goto 甲兵时代同名文件夹病毒专杀工具
  373. :ydpf
  374. call :killxs
  375. call :killupbd
  376. goto :eof
  377. :killxs
  378. echo.
  379. echo   当前移动盘是:!tvd!
  380. echo.
  381. echo     ◇ 正在恢复显示移动盘中的文件,请稍候……(移动盘文件过多可能会影响速度。)
  382. echo.
  383. for /f %%i in ("!tvd!") do attrib %%~di\*.* -s -r -h -a /d /s
  384. goto :eof
  385. :killupbd
  386. echo.
  387. echo     ◇ 正在清理移动盘病毒……
  388. for /r %tvd% %%e in (.) do (
  389. set w2=%%~fe
  390. for /r %tvd% %%i in (*.exe) do (
  391. set w1=%%~dpni
  392. if !w1! == !w2! del /f/a/q %%i
  393. )
  394. )
  395. for /r %tvd% %%i in (*.exe) do (
  396. if %%~zi lss 2000000 (if exist %%i del /f/q/a %%i)
  397. )
  398. del /a/f/q %tvd%\Autorun.inf
  399. del /a/f/q %tvd%\Autorun.inf.exe
  400. del /a/f/q %tvd%\Autorun.exe
  401. del /a/f/q %tvd%\RECYCLER.exe
  402. del /a/f/q %tvd%\Recycled.exe
  403. del /a/f/q %tvd%\Recycle.exe
  404. del /a/f/q %tvd%\Notepad.exe
  405. del /a/f/q %tvd%\.vbs
  406. del /a/f/q %tvd%\Secret.exe
  407. del /a/f/q "%tvd%\NGUYEN TU QUANG.EXE"
  408. del /a/f/q %tvd%\Wsctf.exe
  409. del /a/f/q %tvd%\expl0rer.exe
  410. goto :eof
  411. :killuexe
  412. echo !date! !time!: >>%SYSTEMDRIVE%\可疑文件隔离\可疑文件路径.txt
  413. for /r %tvd% %%a in (*.exe) do echo %%a>>%SYSTEMDRIVE%\可疑文件隔离\可疑文件路径.txt&move "%%a" %SYSTEMDRIVE%\可疑文件隔离\!date:~0,10!
  414. goto :eof
  415. :killex
  416. echo 甲.兵,时.代移动盘同名文件夹病毒专杀工具>!tvd!\autorun.inf
  417. attrib +a +h +r +s !tvd!\autorun.inf
  418. echo.
  419. echo     ★ 杀毒完毕!
  420. echo.
  421. ping /n 5 127.0.1>nul
  422. goto 甲兵时代同名文件夹病毒专杀工具
  423. :yjjsps
  424. title !%0!
  425. echo.
  426. echo.
  427. echo.
  428. echo.
  429. echo                           一键结束非系统进程 cmd@xp
  430. taskkill /f /im explorer.exe
  431. for /f "skip=3" %%a in ('tasklist') do echo %%a |findstr /i /v "System smss.exe csrss.exe winlogon.exe services.exe lsass.exe svchost.exe conime.exe cmd.exe explorer.exe wmiprvse.exe Userinit.exe taskkill.exe spoolsv.exe ctfmon.exe alg.exe tasklist.exe qq.exe">>_npslist.txt
  432. for /f %%a in (_npslist.txt) do taskkill /f /t /im %%a||NTSD -c q -P %%a
  433. start %windir%\explorer.exe
  434. del _npslist.txt
  435. for /f "usebackq skip=3 tokens=2" %%p in (`tasklist /fi "windowtitle eq !%0!"`) do set prs2=%%p
  436. for /f "usebackq skip=1 delims=" %%p in (`"wmic process where(name="cmd.exe") get ProcessId"`) do (
  437. echo %%p |findstr /v "!prs2!">>_prstkill.txt
  438. )
  439. for /f %%a in (_prstkill.txt) do taskkill /f /t /pid %%a
  440. del _prstkill.txt
  441. title 甲兵时代同名文件夹病毒专杀工具(升级版V20100610)
  442. :clean
  443. echo.
  444. echo     ★ 清理系统垃圾
  445. del /f /s /q %systemdrive%\*.tmp
  446. del /f /s /q %systemdrive%\*._mp
  447. del /f /s /q %systemdrive%\*.gid
  448. del /f /s /q %systemdrive%\*.chk
  449. del /f /s /q %systemdrive%\*.old
  450. del /f /s /q %systemdrive%\recycled\*.*
  451. del /f /s /q %windir%\*.bak
  452. del /f /s /q %windir%\*.log
  453. del /f /s /q %windir%\*.tmp
  454. del /f /s /q %windir%\prefetch\*.*
  455. rd /s /q %windir%\temp & md %windir%\temp
  456. rd /s /q %temp% & md %temp%
  457. del /f /q %userprofile%\recent\*.*
  458. del /f /s /q "%userprofile%\Local Settings\Temporary Internet Files\*.*"
  459. del /f /s /q "%userprofile%\Local Settings\Temp\*.*"
  460. del /f /s /q "%userprofile%\recent\*.*"
  461. echo.
  462. echo   操作完毕!
  463. echo.
  464. goto :eof
  465. :yxjcxf
  466. echo.
  467. echo     ◇ 修复映像劫持
  468. cd.>_jcxflist.txt
  469. echo 360rpt.exe >>_jcxflist.txt
  470. echo 360Safe.exe >>_jcxflist.txt
  471. echo 360tray.exe >>_jcxflist.txt
  472. echo adam.exe >>_jcxflist.txt
  473. echo AgentSvr.exe >>_jcxflist.txt
  474. echo AppSvc32.exe >>_jcxflist.txt
  475. echo ArSwp.exe >>_jcxflist.txt
  476. echo AST.exe >>_jcxflist.txt
  477. echo autoruns.exe >>_jcxflist.txt
  478. echo AvastU3.exe >>_jcxflist.txt
  479. echo avconsol.exe >>_jcxflist.txt
  480. echo avgrssvc.exe >>_jcxflist.txt
  481. echo AvMonitor.exe >>_jcxflist.txt
  482. echo avp.exe >>_jcxflist.txt
  483. echo CCenter.exe >>_jcxflist.txt
  484. echo ccSvcHst.exe >>_jcxflist.txt
  485. echo cmd.exe >>_jcxflist.txt
  486. echo EGHOST.exe >>_jcxflist.txt
  487. echo FileDsty.exe >>_jcxflist.txt
  488. echo FTCleanerShell.exe >>_jcxflist.txt
  489. echo FYFireWall.exe >>_jcxflist.txt
  490. echo ghost.exe >>_jcxflist.txt
  491. echo HijackThis.exe >>_jcxflist.txt
  492. echo IceSword.exe >>_jcxflist.txt
  493. echo iexplore.exe >>_jcxflist.txt
  494. echo iparmo.exe >>_jcxflist.txt
  495. echo Iparmor.exe >>_jcxflist.txt
  496. echo irsetup.exe >>_jcxflist.txt
  497. echo isPwdSvc.exe >>_jcxflist.txt
  498. echo kabaload.exe >>_jcxflist.txt
  499. echo KaScrScn.SCR >>_jcxflist.txt
  500. echo KASMain.exe >>_jcxflist.txt
  501. echo KASTask.exe >>_jcxflist.txt
  502. echo KAV32.EXE >>_jcxflist.txt
  503. echo KAVDX.EXE >>_jcxflist.txt
  504. echo KAVPF.exe >>_jcxflist.txt
  505. echo KAVPFW.exe >>_jcxflist.txt
  506. echo KAVSetup.exe >>_jcxflist.txt
  507. echo KAVStart.exe >>_jcxflist.txt
  508. echo KISLnchr.exe >>_jcxflist.txt
  509. echo KMailMon.exe >>_jcxflist.txt
  510. echo KMFilter.exe >>_jcxflist.txt
  511. echo KPFW32.EXE >>_jcxflist.txt
  512. echo KPFW32X.EXE >>_jcxflist.txt
  513. echo KPFWSvc.EXE >>_jcxflist.txt
  514. echo KRegEx.exe >>_jcxflist.txt
  515. echo KRepair.com >>_jcxflist.txt
  516. echo KsLoader.exe >>_jcxflist.txt
  517. echo KVCenter.kxp >>_jcxflist.txt
  518. echo KvDetect.exe >>_jcxflist.txt
  519. echo KvfwMcl.exe >>_jcxflist.txt
  520. echo KVMonXP.kxp >>_jcxflist.txt
  521. echo KVMonXP_1.kxp >>_jcxflist.txt
  522. echo kvol.exe >>_jcxflist.txt
  523. echo kvolself.exe >>_jcxflist.txt
  524. echo KvReport.kxp >>_jcxflist.txt
  525. echo KVScan.kxp >>_jcxflist.txt
  526. echo KVSrvXP.exe >>_jcxflist.txt
  527. echo KVStub.kxp >>_jcxflist.txt
  528. echo kvupload.exe >>_jcxflist.txt
  529. echo kvwsc.exe >>_jcxflist.txt
  530. echo KvXP.kxp >>_jcxflist.txt
  531. echo KvXP_1.kxp >>_jcxflist.txt
  532. echo KWatch.EXE >>_jcxflist.txt
  533. echo KWatch9x.exe >>_jcxflist.txt
  534. echo KWatchX.EXE >>_jcxflist.txt
  535. echo loaddll.exe >>_jcxflist.txt
  536. echo MagicSet.exe >>_jcxflist.txt
  537. echo mcconsol.exe >>_jcxflist.txt
  538. echo mmqczj.exe >>_jcxflist.txt
  539. echo mmsk.exe >>_jcxflist.txt
  540. echo msconfig.exe >>_jcxflist.txt
  541. echo Navapsvc.exe >>_jcxflist.txt
  542. echo Navapw32.exe >>_jcxflist.txt
  543. echo NOD32.exe >>_jcxflist.txt
  544. echo nod32krn.exe >>_jcxflist.txt
  545. echo nod32kui.exe >>_jcxflist.txt
  546. echo NPFMntor.exe >>_jcxflist.txt
  547. echo PFW.exe >>_jcxflist.txt
  548. echo PFWLiveUpdate.exe >>_jcxflist.txt
  549. echo process exloprer.exe >>_jcxflist.txt
  550. echo procexp.exe >>_jcxflist.txt
  551. echo QHSET.exe >>_jcxflist.txt
  552. echo QQ.exe >>_jcxflist.txt
  553. echo QQDoctor.exe >>_jcxflist.txt
  554. echo QQKav.exe >>_jcxflist.txt
  555. echo QQSC.exe >>_jcxflist.txt
  556. echo Ras.exe >>_jcxflist.txt
  557. echo Rav.exe >>_jcxflist.txt
  558. echo RavMon.exe >>_jcxflist.txt
  559. echo RavMonD.exe >>_jcxflist.txt
  560. echo RavStub.exe >>_jcxflist.txt
  561. echo RavTask.exe >>_jcxflist.txt
  562. echo RegClean.exe  >>_jcxflist.txt
  563. echo regedit.com >>_jcxflist.txt
  564. echo regedit.exe >>_jcxflist.txt
  565. echo rfwcfg.exe >>_jcxflist.txt
  566. echo rfwmain.exe >>_jcxflist.txt
  567. echo rfwProxy.exe  >>_jcxflist.txt
  568. echo rfwsrv.exe >>_jcxflist.txt
  569. echo RsAgent.exe >>_jcxflist.txt
  570. echo Rsaupd.exe >>_jcxflist.txt
  571. echo rstrui.exe >>_jcxflist.txt
  572. echo runiep.exe >>_jcxflist.txt
  573. echo safelive.exe >>_jcxflist.txt
  574. echo scan32.exe >>_jcxflist.txt
  575. echo shcfg32.exe >>_jcxflist.txt
  576. echo SmartUp.exe >>_jcxflist.txt
  577. echo SREng.com >>_jcxflist.txt
  578. echo SREng.EXE >>_jcxflist.txt
  579. echo symlcsvc.exe >>_jcxflist.txt
  580. echo SysSafe.exe >>_jcxflist.txt
  581. echo TrojanDetector.exe >>_jcxflist.txt
  582. echo Trojanwall.exe >>_jcxflist.txt
  583. echo TrojDie.kxp >>_jcxflist.txt
  584. echo UIHost.exe >>_jcxflist.txt
  585. echo UmxAgent.exe >>_jcxflist.txt
  586. echo UmxAttachment.exe >>_jcxflist.txt
  587. echo UmxCfg.exe >>_jcxflist.txt
  588. echo UmxFwHlp.exe >>_jcxflist.txt
  589. echo UmxPol.exe >>_jcxflist.txt
  590. echo upiea.exe >>_jcxflist.txt
  591. echo UpLive.exe >>_jcxflist.txt
  592. echo USBCleaner.exe >>_jcxflist.txt
  593. echo vsstat.exe >>_jcxflist.txt
  594. echo webscanx.exe >>_jcxflist.txt
  595. echo WoptiClean.exe >>_jcxflist.txt
  596. echo zjb.exe >>_jcxflist.txt
  597. echo  Windows Registry Editor Version 5.00>xfyxjc.reg
  598. echo.>>xfyxjc.reg
  599. echo [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DownloadManager]>>xfyxjc.reg
  600. for /f "tokens=*" %%a in (_jcxflist.txt) do echo [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\%%a]>>xfyxjc.reg
  601. echo [-HKEY_USERS\S-1-5-21-1757745196-1676693376-65411059-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Streams\35]>>xfyxjc.reg
  602. start /w regedit.exe /s xfyxjc.reg
  603. del xfyxjc.reg,_jcxflist.txt
  604. goto :eof
  605. :rwglq
  606. echo.
  607. echo     ◇ 修复任务管理器
  608. echo REGEDIT4 >>_xfrwglq.reg
  609. echo [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] >>_xfrwglq.reg
  610. echo "DisableTaskmgr"=dword:00000000. >>_xfrwglq.reg
  611. echo.>>_xfrwglq.reg
  612. start /w regedit.exe /s _xfrwglq.reg
  613. del _xfrwglq.reg
  614. goto :eof
  615. :exit
  616. exit
  617. :auto
  618. Rem 杀进程
  619. taskkill /F /IM SocksA.exe /IM SVOHOST.exe /IM AdobeR.exe /IM ravmone.exe /IM wincfgs.exe /IM doc.exe /IM rose.exe /IM sxs.exe /IM autorun.exe /IM KB20060111.exe /IM tel.xls.exe>nul 2>nul
  620. :clearauto
  621. cls
  622. Echo.
  623. Echo     Autorun 病毒清除与免疫工具
  624. rem By Phexon。本文做了部分的修改,敬请原谅。
  625. Echo.
  626. Echo       [1] 一键免疫(推荐!)
  627. Echo       [2] 禁用系统的 Autorun 机制以避免 Autorun 病毒的再次感染
  628. Echo       [3] 仅仅删除所有盘符下的 Autorun 病毒
  629. Echo       [4] 删除并免疫指定盘符的 Autorun 病毒
  630. Echo       [5] 取消免疫指定盘符
  631. Echo       [6] 取消所有盘符的 Autorun 病毒免疫
  632. Echo       [7] 恢复相关注册表项默认值
  633. Echo       [8] 显示被隐藏的文件
  634. Echo       [9] 不显示被隐藏的文件
  635. Echo       [10] 恢复文件的显示隐藏设置功能
  636. Echo       [11] 显示盘符下被隐藏的文件夹(如D盘)
  637. Echo       [12] 映像劫持修复
  638. echo       [13] 任务管理器修复
  639. echo       [14] 恢复显示指定路径的文件
  640. Echo       [0] 返回
  641. Echo.
  642. Set /p clearslt= 请输入您的选择(1/2/3/4/5/6/7/8/9/10/0):
  643. If "%clearslt%"=="" Goto clearauto
  644. If "%clearslt%"=="1" call :clearauto1
  645. If "%clearslt%"=="2" call :clearauto2
  646. If "%clearslt%"=="3" Goto clearauto3
  647. If "%clearslt%"=="6" Goto clearauto4
  648. If "%clearslt%"=="4" Goto clearauto5
  649. If "%clearslt%"=="5" Goto clearauto6
  650. If "%clearslt%"=="7" Goto clearauto7
  651. if "%clearslt%"=="8" goto xians
  652. if "%clearslt%"=="9" goto yinc
  653. if %clearslt%==10 goto hhsz
  654. if %clearslt%==11 call :xsycdp
  655. If %clearslt%==12 call :yxjcxf
  656. If %clearslt%==13 call :rwglq
  657. If %clearslt%==14 call :hfxslj
  658. If "%clearslt%"=="0" cls&goto start
  659. goto clearauto
  660. :clearauto1
  661. cls
  662. echo.
  663. echo.
  664. echo     ★ 一键免疫,预防病毒自动传播。
  665. echo.
  666. echo     ★ 清除Autorun.inf和_desktop.ini病毒并免疫,禁用自动播放。
  667. echo.
  668. echo     ★ 假如弹出对话框提示“WINDOWS-没有软盘”,请点取消即可。
  669. echo.
  670. echo.
  671. taskkill /F /IM SocksA.exe /IM SVOHOST.exe /IM AdobeR.exe /IM ravmone.exe /IM wincfgs.exe /IM doc.exe /IM rose.exe /IM sxs.exe /IM autorun.exe /IM KB20060111.exe /IM tel.xls.exe>nul 2>nul
  672. For %%a In (C D E F G H I J K L M N O P Q R S T U V W X Y Z) Do (
  673. fsutil fsinfo drivetype %%a: |find /i "固定驱动器" && (
  674.    For /f "tokens=2 delims==" %%b In (%%a:\autorun.inf) Do Del /a /f /q "%%a:\%%b" & md "%%a:\%%b\免疫目录不要删除!...\" & attrib +s +h +r "%%a:\%%b" & Echo Y|cacls "%%a:\%%b" /T /C /P everyone:N >nul 2>nul
  675.    Del /a /f /q %%a:\autorun.inf & md "%%a:\autorun.inf\免疫目录不要删除!...\" & attrib +s +h +r %%a:\autorun.inf & Echo Y|cacls "%%a:\autorun.inf" /T /C /P everyone:N >nul 2>nul
  676.    ) >nul 2>nul
  677. fsutil fsinfo drivetype %%a: |find /i "可移动驱动器" && (
  678.    For /f "tokens=2 delims==" %%b In (%%a:\autorun.inf) Do Del /a /f /q "%%a:\%%b" & md "%%a:\%%b\免疫目录不要删除!...\" & attrib +s +h +r "%%a:\%%b" & Echo Y|cacls "%%a:\%%b" /T /C /P everyone:N >nul 2>nul
  679.    Del /a /f /q %%a:\autorun.inf & md "%%a:\autorun.inf\免疫目录不要删除!...\" & attrib +s +h +r %%a:\autorun.inf & Echo Y|cacls "%%a:\autorun.inf" /T /C /P everyone:N >nul 2>nul
  680.    ) >nul 2>nul
  681. )
  682. :desk
  683. echo     ★ 全盘删除所有文件夹下的_desktop.ini
  684. @echo off
  685. setlocal enabledelayedexpansion
  686. for /f "delims=\" %%i in ('fsutil fsinfo drives^|find /v ""') do (
  687.     set var=%%i
  688.     set drive=!var:~-2!
  689.     fsutil fsinfo drivetype !drive!|find "固定">nul && del /a /f /s !drive!\_desktop.ini
  690. )
  691. echo.
  692. :clearauto2
  693. cls
  694. echo.
  695. Echo.
  696. echo     ★ 禁用自动播放,正在停止相关服务……
  697. echo.
  698. echo.
  699. reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0x000000ff /f >nul 2>nul
  700. reg add "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0x000000ff /f >nul 2>nul
  701. net stop ShellHWDetection >nul 2>nul
  702. sc config ShellHWDetection start= disabled >nul 2>nul
  703. Rem 添加防止从回收站或仿回收站的目录中直接运行可执行文件的策略
  704. Set REGPATH=HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths
  705. Set SFLAG=/v SaferFlags /t REG_DWORD /d 0x00000000 /f
  706. Set IDATA=/f /v ItemData /d "?:\Recyc?
  707. reg add %REGPATH%\{00ffa5bf-abe7-4901-aacf-4f58aa31217a} %SFLAG%>nul
  708. reg add %REGPATH%\{00ffa5bf-abe7-4901-aacf-4f58aa31217a} %IDATA%\*\*\*\*.*">nul
  709. reg add %REGPATH%\{41fe7eed-c47a-46f6-840a-240796fd03cf} %SFLAG%>nul
  710. reg add %REGPATH%\{41fe7eed-c47a-46f6-840a-240796fd03cf} %IDATA%\*\*\*.*">nul
  711. reg add %REGPATH%\{4e93c91c-a40e-462e-9b89-3b0832d222d9} %SFLAG%>nul
  712. reg add %REGPATH%\{4e93c91c-a40e-462e-9b89-3b0832d222d9} %IDATA%\*.*">nul
  713. reg add %REGPATH%\{5bfc100b-d3fb-450e-88ec-6819ab56a9ff} %SFLAG%>nul
  714. reg add %REGPATH%\{5bfc100b-d3fb-450e-88ec-6819ab56a9ff} %IDATA%\*\*\*\*.*">nul
  715. reg add %REGPATH%\{5c5e2bcd-7057-43f4-830c-e4361d2afadd} %SFLAG%>nul
  716. reg add %REGPATH%\{5c5e2bcd-7057-43f4-830c-e4361d2afadd} %IDATA%\*.*">nul
  717. reg add %REGPATH%\{5f8ff865-0638-4c6e-98de-923e7bc6b330} %SFLAG%>nul
  718. reg add %REGPATH%\{5f8ff865-0638-4c6e-98de-923e7bc6b330} %IDATA%\*\*\*.*">nul
  719. reg add %REGPATH%\{649c1429-0e79-453c-abe9-b5682e035ae7} %SFLAG%>nul
  720. reg add %REGPATH%\{649c1429-0e79-453c-abe9-b5682e035ae7} %IDATA%\*\*.*">nul
  721. reg add %REGPATH%\{718f54b2-c669-4d7b-aeff-18d69f100034} %SFLAG%>nul
  722. reg add %REGPATH%\{718f54b2-c669-4d7b-aeff-18d69f100034} %IDATA%\*\*.*">nul
  723. reg add %REGPATH%\{8385d9d2-80c9-4ac1-a100-ed3e62863d97} %SFLAG%>nul
  724. reg add %REGPATH%\{8385d9d2-80c9-4ac1-a100-ed3e62863d97} %IDATA%\*.*">nul
  725. reg add %REGPATH%\{af2a4fcf-441c-421e-9663-52cd3502cfd7} %SFLAG%>nul
  726. reg add %REGPATH%\{af2a4fcf-441c-421e-9663-52cd3502cfd7} %IDATA%\*\*\*.*">nul
  727. reg add %REGPATH%\{b997f4b2-c037-4e97-b051-31f5d86df802} %SFLAG%>nul
  728. reg add %REGPATH%\{b997f4b2-c037-4e97-b051-31f5d86df802} %IDATA%\*\*.*">nul
  729. reg add %REGPATH%\{d4e7b6ff-d76f-407f-b8bb-ea0835f5babc} %SFLAG%>nul
  730. reg add %REGPATH%\{d4e7b6ff-d76f-407f-b8bb-ea0835f5babc} /f /v ItemData /d "RECYC*.*">nul
  731. Rem 清除喜欢利用回收站的移动磁盘自动运行病毒
  732. For %%a In (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) Do (
  733. For %%b In (exe pif com) Do (
  734.    Echo Y|cacls "%%a:\Recycler\*.%%b" /C /T /P everyone:F>nul 2>nul&Echo Y|cacls "%%a:\Recycled\*.%%b" /C /T /P everyone:F>nul 2>nul&Echo Y|cacls "%%a:\Recycled\Recycled\*.%%b" /C /T /P everyone:F>nul 2>nul
  735.    Del /A /F /S /Q "%%a:\Recycler\*.%%b">nul 2>nul&Del /A /F /S /Q "%%a:\Recycled\*.%%b">nul 2>nul&Del /A /F /S /Q "%%a:\Recycled\Recycled\*.%%b">nul 2>nul
  736.    )
  737. )>nul 2>nul
  738. cls
  739. Echo.
  740. echo.
  741. echo     ★ 相关服务已停止并禁用,任意键返回……
  742. echo.
  743. echo.
  744. goto :eof
  745. :clearauto3
  746. taskkill /F /IM SocksA.exe /IM SVOHOST.exe /IM AdobeR.exe /IM ravmone.exe /IM wincfgs.exe /IM doc.exe /IM rose.exe /IM sxs.exe /IM autorun.exe /IM KB20060111.exe /IM tel.xls.exe>nul 2>nul
  747. For %%a In (C D E F G H I J K L M N O P Q R S T U V W X Y Z) Do (
  748. fsutil fsinfo drivetype %%a: |find /i "固定驱动器" && (
  749.    For /f "tokens=2 delims==" %%b In (%%a:\autorun.inf) Do Del /a /f /q "%%a:\%%b" >nul 2>nul
  750.    Del /a /f /q %%a:\autorun.inf >nul 2>nul
  751.    ) >nul 2>nul
  752. fsutil fsinfo drivetype %%a: |find /i "可移动驱动器" && (
  753.    For /f "tokens=2 delims==" %%b In (%%a:\autorun.inf) Do Del /a /f /q "%%a:\%%b" >nul 2>nul
  754.    Del /a /f /q %%a:\autorun.inf >nul 2>nul
  755.    ) >nul 2>nul
  756. )
  757. cls
  758. Echo   Autorun 病毒清除完毕,任意键返回……
  759. pause>nul
  760. Goto clearauto
  761. :clearauto4
  762. For %%a In (C D E F G H I J K L M N O P Q R S T U V W X Y Z) Do (
  763. fsutil fsinfo drivetype %%a: |find /i "固定驱动器" && (
  764.    cacls "%%a:\autorun.inf" /T /C /P everyone:F&Del /a /f /q "%%a:\autorun.inf" & rd /s /q "%%a:\autorun.inf">nul 2>nul
  765.    )>nul 2>nul
  766. fsutil fsinfo drivetype %%a: |find /i "可移动驱动器" && (
  767.    cacls "%%a:\autorun.inf" /T /C /P everyone:F&Del /a /f /q "%%a:\autorun.inf" & rd /s /q "%%a:\autorun.inf">nul 2>nul
  768.    )>nul 2>nul
  769. )
  770. cls
  771. Echo.
  772. Echo   已经解除全部盘符的免疫,任意键返回……
  773. pause>nul
  774. Goto clearauto
  775. :clearauto5
  776. cls
  777. Echo.
  778. Set /p pf=   请输入盘符,如"F:"(不包括引号)
  779. Echo    即将免疫%pf%盘……|find /i ":"||Set pf=%pf%:&&Echo    即将免疫%pf%盘……
  780. taskkill /F /IM SocksA.exe /IM SVOHOST.exe /IM AdobeR.exe /IM ravmone.exe /IM wincfgs.exe /IM doc.exe /IM rose.exe /IM sxs.exe /IM autorun.exe /IM KB20060111.exe /IM tel.xls.exe>nul 2>nul
  781. fsutil fsinfo drivetype %pf% |find /i "固定驱动器" && (
  782. For /f "tokens=2 delims==" %%a In (%pf%\autorun.inf) Do Del /a /f /q "%pf%\%%a" & md "%pf%\%%a\免疫目录不要删除!...\" & attrib +s +h +r "%pf%\%%a" & Echo Y|cacls "%pf%\%%a" /T /C /P everyone:N >nul 2>nul
  783. Del /a /f /q %pf%\autorun.inf & md "%pf%\autorun.inf\免疫目录不要删除!...\" & attrib +s +h +r %pf%\autorun.inf & Echo Y|cacls "%pf%\autorun.inf" /T /C /P everyone:N >nul 2>nul
  784. Goto DoneclearAuto
  785. ) >nul 2>nul
  786. fsutil fsinfo drivetype %pf% |find /i "可移动驱动器" && (
  787. For /f "tokens=2 delims==" %%a In (%pf%\autorun.inf) Do Del /a /f /q "%pf%\%%a" & md "%pf%\%%a\免疫目录不要删除!...\" & attrib +s +h +r "%pf%\%%a" & Echo Y|cacls "%pf%\%%a" /T /C /P everyone:N >nul 2>nul
  788. Del /a /f /q %pf%\autorun.inf & md "%pf%\autorun.inf\免疫目录不要删除!...\" & attrib +s +h +r %pf%\autorun.inf & Echo Y|cacls "%pf%\autorun.inf" /T /C /P everyone:N >nul 2>nul
  789. Goto DoneclearAuto
  790. ) >nul 2>nul
  791. Echo.
  792. Echo   您所输入的盘符不存在或者是只读设备,
  793. Echo   请重新输入
  794. Goto clearauto5
  795. :DoneclearAuto
  796. cls
  797. Echo.
  798. Echo   指定的磁盘 %pf% 已经成功进行了 Autorun 病毒的清除及免疫
  799. Echo.
  800. Echo   [1] 继续免疫其他磁盘
  801. Echo   [0] 返回主菜单
  802. Set /p choice=   请输入您的选择(1/0):
  803. If %choice%="" Goto DoneclearAuto
  804. If %choice%="1" Goto clearauto5
  805. If %choice%="0" Goto clearauto
  806. :clearauto6
  807. cls
  808. Echo.
  809. Set /p pf=   请输入盘符,如"F:"(不包括引号)
  810. Echo    即将取消免疫%pf%盘……|find /i ":"||Set pf=%pf%:&&Echo    即将取消免疫%pf%盘……
  811. fsutil fsinfo drivetype %pf% |find /i "固定驱动器" && (
  812. cacls "%pf%\autorun.inf" /T /C /P everyone:F&Del /a /f /q "%pf%\autorun.inf" & rd /s /q "%pf%\autorun.inf">nul 2>nul
  813. Goto DoneUnauto
  814. )>nul 2>nul
  815. fsutil fsinfo drivetype %pf% |find /i "可移动驱动器" && (
  816. cacls "%pf%\autorun.inf" /T /C /P everyone:F&Del /a /f /q "%pf%\autorun.inf" & rd /s /q "%pf%\autorun.inf">nul 2>nul
  817. Goto DoneUnauto
  818. )>nul 2>nul
  819. Echo.
  820. Echo   您所输入的盘符不存在或者是只读设备,
  821. Echo   请重新输入
  822. Goto clearauto6
  823. :DoneUnauto
  824. cls
  825. Echo.
  826. Echo   指定的磁盘 %pf% 已经成功解除了 Autorun 病毒免疫
  827. Echo.
  828. Echo   [1] 继续解除免疫其他磁盘
  829. Echo   [0] 返回主菜单
  830. Set choice=
  831. Set /p choice=   请输入您的选择(1/0):
  832. If %choice%="" Goto DoneUnauto
  833. If %choice%="1" Goto clearauto6
  834. If %choice%="0" Goto clearauto
  835. :clearauto7
  836. cls
  837. Rem 防止在资源管理器中彻底隐藏文件、禁止文件等
  838. reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /t REG_DWORD /d 0x00000001 /f>nul 2>nul
  839. reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2" /f>nul 2>nul
  840. reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /f>nul 2>nul
  841. reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v DisallowRun /f>nul 2>nul
  842. Rem 防止转移启动组位置
  843. reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" /v Startup /d "%USERPROFILE%\「开始」菜单\程序\启动" /f>nul 2>nul
  844. reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" /v "Common Startup" /d "%ALLUSERSPROFILE%\「开始」菜单\程序\启动" /f>nul 2>nul
  845. Echo.
  846. Echo   相关注册表恢复完毕,任意键返回……
  847. pause>nul
  848. Goto clearauto
  849. :xians
  850. reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v Hidden /t reg_dword /d 1 /f
  851. reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v HideFileExt /t reg_dword /d 0 /f
  852. reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v ShowSuperHidden /t reg_dword /d 1 /f
  853. cls&echo.
  854. Echo   操作完毕,任意键返回……
  855. pause>nul
  856. Goto clearauto
  857. :yinc
  858. reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v Hidden /t reg_dword /d 00000000 /f
  859. reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v HideFileExt /t reg_dword /d 00000001 /f
  860. reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v ShowSuperHidden /t reg_dword /d 00000000 /f
  861. cls&echo.
  862. Echo   操作完毕,任意键返回……
  863. pause>nul
  864. Goto clearauto
  865. :hhsz
  866. echo.
  867. echo        恢复注册表中不给设置显示隐藏文件的项目,请稍侯......
  868. echo.
  869. echo.
  870. ECHO Windows Registry Editor Version 5.00>SHOWALL.reg
  871. ECHO [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]>>SHOWALL.reg
  872. ECHO "CheckedValue"=->>SHOWALL.reg
  873. ECHO [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]>>SHOWALL.reg
  874. ECHO "CheckedValue"=dword:00000001>>SHOWALL.reg
  875. cls&echo.
  876. Echo   操作完毕,任意键返回……
  877. pause>nul
  878. Goto clearauto
  879. :hfxslj
  880. cls
  881. echo.
  882. echo               恢复显示指定路径下的文件
  883. echo.
  884. echo.
  885. set /p hfxsljj=    输入路径或拖入文件,退出【b】:
  886. echo.
  887. if %hfxsljj%==b Goto clearauto
  888. attrib -h -s -a -r /s /d "%hfxsljj%"
  889. attrib -h -s -a -r "%hfxsljj%"
  890. echo.
  891. pause
  892. Goto hfxslj
复制代码


[ 本帖最后由 cjiabing 于 2010-9-24 19:53 编辑 ]
作者: xpclient    时间: 2010-5-30 11:45

很强大...                          .
作者: hzm16    时间: 2010-5-31 12:21

很强大的东西,这东西我找了好久了,5555……
作者: 523066680    时间: 2010-6-19 13:15

挺庞大的,加了个油!
作者: wysdxf    时间: 2010-7-24 10:56

貌视很强大。。看看
作者: chishi    时间: 2010-7-28 10:41

收下这个bat了,谢谢你,又多了一个杀毒的好东东
作者: youxi01    时间: 2010-7-28 11:58

欢迎提出意见与建议!

功能貌似不错,稍显累赘
作者: Batcher    时间: 2010-7-28 12:58

而且论坛管理层,除了技术高外,缺乏成熟的管理思想,往往凭个人兴趣爱好处理问题。

我大胆猜想一下,可能是因为管理团队成员大部分是上班一族,在他们的实际工作中用到批处理(VBS、Shell、Perl等其它脚本也一样)的地方绝大部分都是文本处理或者文件处理。可能他们所在的公司很少用批处理去杀毒或者管理系统吧。

至于什么是成熟的管理思想,这个可能有点见仁见智。如果楼主对论坛的发展有什么好的建议,欢迎到站务来讨论。
作者: bluewing009    时间: 2010-7-28 18:52

的确,相对来说,坛子里针对系统安全方面的的确有点少,这也于批处理本身有限制不无关系。当然,个人希望可以在系统安全方面稍微倾向一些,因为这类东西实在很少…~
PS,畸形文件免疫已经失效。
作者: liukevin    时间: 2010-7-30 20:41

天啊,果然是大工程呀,堪称惊世之作。佩服
作者: cjiabing    时间: 2010-8-29 18:49

原帖由 jkx1979 于 2010-8-29 17:50 发表
我弄成批处理在我电脑上用了下,效果还可以,就是把一些系统自带的文件好像也处理掉了哦

呵呵,谢谢,应该没那么严重吧?
能处理掉的东西一般要么直接是病毒,要么是同名了,但同名只对盘符下的文件起作用,不进入深层目录。
已经不更新了,没有太多的时间和病毒作者斗。再说总体思路也是有缺陷的,批处理无法很好的解决。
一般使用没有问题的,也没见有人找我投诉,放心了。
作者: Batcher    时间: 2010-9-22 00:40     标题: 回复 9楼 的帖子

畸形文件免疫几年前就失效了吧,呵呵。
作者: Batcher    时间: 2010-9-22 00:43

del /f /s /q %systemdrive%\*.log

系统安全、应用程序的正常运行等等离不开日志啊
实在搞不懂为啥很多人把日志当做垃圾给清理掉
忒纠结
作者: cjiabing    时间: 2010-9-24 19:49     标题: 回复 15楼 的帖子

呵呵,谢谢关注,这个东东更新了将近两年,太累了,不想再去动了!~
从没遇到过LOG的问题,所以没有那个意识去注意。
裸机上网那么久都不中毒,人家装瑞星的都能中毒,看来问题不出在病毒和电脑,出在人的思想。
作者: meimeng09    时间: 2016-9-11 22:02

想当年,我电脑中毒,全变成EXE了,重装系统都没用,后来使用版主的这个,搞定了
向您致敬
作者: 霖僡    时间: 2018-5-27 16:33

支持     强大的功能
作者: Batcher    时间: 2022-11-30 19:43

仅实现删除文件夹下的同名exe文件:
test_1.bat
  1. @echo off
  2. for /r E: %%i in (.) do (
  3.     if exist "%%~fi\%%~nxi.exe" (
  4.         del /f /q "%%~fi\%%~nxi.exe"
  5.     )
  6. )
复制代码
test_2.bat
  1. @echo off
  2. REM 删除E盘所有文件夹下的同名exe文件
  3. for /f "delims=" %%i in ('dir /b /s /ad E:') do (
  4.     if exist "%%i\%%~nxi.exe" (
  5.         del /f /q "%%i\%%~nxi.exe"
  6.     )
  7. )
复制代码





欢迎光临 批处理之家 (http://www.bathome.net/) Powered by Discuz! 7.2