前幾天爸爸辦公室的小姑娘說辦公室里電腦打開瑞星就結束不了了
我去看了一下,哎呦,有個進程是nboqcey.exe,原理是令人位置汗顏的機器狗….
因為沒有上網,沒法升級瑞星。仔細分析了下進程,還有個afdyvnr.exe,兩個進程需要同時禁用才能結束。
考慮到中的機器應該不只一臺,寫了一個批處理包:
因為病毒進程一般都是守護進程,通過任務管理器很難同時殺死兩個進程,所以先寫個能同時殺死多進程的批處理:
@echo off if s%1==s goto end echo %1 's task Killing... :init taskkill /f /im %1.exe 2>nul taskkill /f /im %2.exe 2>nul taskkill /f /im %3.exe 2>nul taskkill /f /im %4.exe 2>nul taskkill /f /im %5.exe 2>nul taskkill /f /im %6.exe 2>nul taskkill /f /im %7.exe 2>nul taskkill /f /im %8.exe 2>nul taskkill /f /im %9.exe 2>nul echo kill ok;Loading again; goto init :end |
因為病毒都是文件一般都是系統+隱藏+只讀屬性,所以還要寫一個改屬性為正常屬性并且同時刪除文件的批處理:
@echo off attrib -s -h -r %1 del %1 |
主要批處理就這些,可以點擊這里下載測試(http://www.yslfodr.com/products/virustoolkit.rar)
里邊有個eg.txt,打開Loading.bat,將里邊的內容復制到命令提示符中就可以清除機器狗病毒,當然還可以擴展做到清除更過病毒。下面是eg.txt的內容:
::清除加密狗的方法 ::打開:Loading.bat,復制一下內容到Loading.bat打開的窗口 k afdyvnr nboqcey d c:\fhrqdpi.exe d d:\fhrqdpi.exe d e:\fhrqdpi.exe d f:\fhrqdpi.exe d j:\fhrqdpi.exe d k:\fhrqdpi.exe d l:\fhrqdpi.exe d c:\autorun.inf d d:\autorun.inf d e:\autorun.inf d f:\autorun.inf d j:\autorun.inf d k:\autorun.inf d l:\autorun.inf ::dir /s /a c:\nboqcey.exe 可有找c:\下所有的nboqcey.exe d "C:\Program Files\Common Files\System\nboqcey.exe" d "C:\Program Files\Common Files\System\pydwhcw.inf" d "c:\Program Files\Common Files\Microsoft Shared\afdyvnr.exe" echo gaga,it's ok. |
加密狗是利用注冊表啟動的,因為所有病毒已經被刪除,所以不用清理注冊表了。
病毒Toolkit By MiaoQiyuan.cn
==================================================================
k 1 2 .. 9 循環的方式結束進程1.exe 2.exe 3.exe …9.exe
v c 顯示C:\autorun.inf的內容
s c 顯示C:\autorun.inf的文件信息
d c:\1.exe 強制刪除1.exe(無論是否隱藏)
s* 系統支持文件
==================================================================
病毒Toolkit使用說明,以加密狗為例:
1.v c 查看auto病毒程序的文件名(fhrqdpi.exe)
2.上網查進程(afdyvnr.exe nboqcey.exe)
3.執行k afdyvnr nboqcey,循環結束進程
4.d c:\fhrqdpi.exe 刪除文件
5.到注冊表中搜索afdyvnr.exe,nboqcey.exe并刪除
6.重起就OK了
==================================================================
更多程序請訪問:MiaoQiyuan.cn