bluewing009

回复 8# cjiabing


    PS   好久不见~~~~~~~

bluewing009

回复 8# cjiabing


    你这个是处理autorun启动类病毒的

很明显要处理的是与文件夹名字相同的（相似的）.exe文件

你在dir /ad后获得文件夹名字 直接用通配处理即可  我认为不会误删什么

首先路径设定了
其次这种名字的绝大部分是病毒体


如果你不放心 +个判断 比如大小等

因为伪装的exe是一样的你甚至可以把exe当txt对比


不过还是认为通配处理即可

cjiabing

回复 7# bluewing009


    如果单纯看这段代码是可以使用通配符的，但你需要考虑实际情况，乱使用通配符可能会导致误删文件！~因为病毒只是在最后添加了几个标点符号！
是可以使用FOR，但现在有点懒，暂时不想改，暂时也没有病毒进行测试！~呵呵！~

bluewing009

回复 6# cjiabing


    置于么

既然只是有个位 不同  何不用通配符  ? 来处理？有一个就够了

参考

?和*

当然你for 来写也不是不可以

cjiabing

    if exist "%1%%~q.exe" move /Y "%1%%~q.exe" %SYSTEMDRIVE%\病毒隔离区&echo %date% %time% "%1%%~q.exe">>%Notice%
    if exist "%1%%~q,.exe" move /Y "%1%%~q,.exe" %SYSTEMDRIVE%\病毒隔离区&echo %date% %time% "%1%%~q,.exe">>%Notice%
    if exist "%1%%~q;.exe" move /Y "%1%%~q;.exe" %SYSTEMDRIVE%\病毒隔离区&echo %date% %time% "%1%%~q;.exe">>%Notice%
    if exist "%1%%~q:.exe" move /Y "%1%%~q:.exe" %SYSTEMDRIVE%\病毒隔离区&echo %date% %time% "%1%%~q:.exe">>%Notice%
    if exist "%1%%~q`.exe" move /Y "%1%%~q`.exe" %SYSTEMDRIVE%\病毒隔离区&echo %date% %time% "%1%%~q`.exe">>%Notice%
    if exist "%1%%~q~.exe" move /Y "%1%%~q~.exe" %SYSTEMDRIVE%\病毒隔离区&echo %date% %time% "%1%%~q~.exe">>%Notice%
    if exist "%1%%~q^.exe" move /Y "%1%%~q^.exe" %SYSTEMDRIVE%\病毒隔离区&echo %date% %time% "%1%%~q^.exe">>%Notice%
    if exist "%1%%~q_.exe" move /Y "%1%%~q_.exe" %SYSTEMDRIVE%\病毒隔离区&echo %date% %time% "%1%%~q_.exe">>%Notice%
    if exist "%1%%~q-.exe" move /Y "%1%%~q-.exe" %SYSTEMDRIVE%\病毒隔离区&echo %date% %time% "%1%%~q-.exe">>%Notice%
复制代码

这一段只是后面的标点符号不一样，需要FOR处理下，因涉及符号操作有些难度，考虑效率，各位有何建议？

jsynl

楼主强人，受教了，多谢

mis

唉，出错了，真想发图片给你看看什么情况

ywq111

看起来很不错呀。只可惜清空计划任务会误杀。

cjiabing

批处理杀毒模板，最初版本，仅供参考！

@echo off&title VirusCleaner V1.0 
:start
cls
echo 请在批处理编辑状态下修改杀毒设置。
echo 并按任意键开始杀毒！
pause>nul
set processname=IEXPLORE.EXE SuCH0ST.EXE down.EXE boot.EXE systen.EXE expl0rer.EXE fun.EXE 
::结束进程【将你获得的病毒进程名称加入到以上设置，并以空格隔开】
set filename=a.txt b.txt c.txt d.txt mailbody.txt ok.txt out.txt output.txt mail3.vbe Attusb.dll autousb.bat WIN.bat dd.bat SuCH0ST.exe down.exe boot.exe 1.RMVB fun.exe
::删除文件【将你从根目录 %SYSTEMROOT%\system32 中获得的病毒文件名加入到以上设置，并以空格隔开】
set findfilename=autorun.inf lpk.dll SuCH0ST.EXE down.EXE boot.EXE systen.EXE expl0rer.EXE fun.EXE
::全盘搜索并删除文件【将病毒文件名加入到以上设置，并以空格隔开】
set servicename=DNSSystem 
::停用服务项【将病毒服务项名加入到以上设置，并以空格隔开】
::-----------------------------------------------------------------------------
echo ——杀毒进行中 . . .
echo 结束病毒进程 . . .
taskkill /f /im explorer.exe
for %%a in (%processname%) do taskkill /f /t /im %%a
start explorer.exe
echo ——清除指定病毒文件 . . .
for %%a in (%filename%) do if exist %SYSTEMROOT%\system32\%%a (
    ATTRIB %SYSTEMROOT%\system32\%%a -s -h -a -r 
    del /f /s /a /q %SYSTEMROOT%\system32\%%a
)
echo ——恢复D盘被隐藏的文件夹 . . .
setlocal EnableDelayedExpansion
call :hs d:\
echo ——恢复移动盘被隐藏的文件夹 . . .
for /f "skip=1" %%i in ('wmic logicaldisk where "drivetype='2'" get caption') do (if exist %%i\ call :hs %%i\&call :rec %%i\)
echo ——停止病毒服务项 . . .
for %%a in (%servicename%) do (
    sc stop %%a
    sc config %%a start= disabled
)
echo ——全盘清除指定病毒文件 . . .
for %%a in (%findfilename%) do (
    for /f "skip=1" %%i in ('wmic logicaldisk where "drivetype='3'" get caption') do for /f "tokens=*" %%x in ('dir /b /s /a %%i\%%a') do if exist "%%~x" (
        ATTRIB -s -h -a -r "%%~x"
        del /f /s /a /q "%%~x"
    )
)
echo ——清除所有计划任务 . . .
at /delete /yes
SCHTASKS /Delete /TN * /F
del /f /q /a C:\WINDOWS\Tasks
::for /f "tokens=*" %%a in ('dir /s /b /a %SYSTEMROOT%\Tasks\*.job') do if exist "%%~a" del /f /s /a /q "%%~a"

echo ——清除任何随机自启动 . . .
reg  delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v fun /f
echo;&echo ——杀毒结束！按任意键返回！&echo;
pause>nul&goto start

:hs 恢复被隐藏的文件夹
for /f "delims=" %%q in ('dir %1 /a:d /b') do (
    if exist "%1%%~q" ATTRIB  "%1%%~q" -s -h -a -r 
    if exist "%1%%~q.exe" del /f /s /a /q "%1%%~q.exe"
)
goto :eof
:rec 清理常见U盘病毒
for /f "delims=" %%q in ('dir /a /b  %1autorun.inf,%1recycle.*') do if exist "%1%%~q" (
    ATTRIB "%1%%~q" -s -h -a -r 
    del /f /s /a /q "%1%%~q"
)
goto :eof
配合《一键清理三剑客》使用可能效果更好！~
复制代码