[系统相关] [已解决]U盘病毒查杀的批处理代码怎么写

BillGates

代码我写出来了，谢谢大家的照顾，大家帮我改良一下吧！

@echo off
title 移动设备检测
echo power by 恒 2009-4-25 编译 &echo.
echo 网址：http://5a83.5d6d.com &echo.
echo 你可以任意修改，但修改版若出现什么问题，本人概不负责，不得用于商业用途。&echo.
ping -n 2 127.1>nul
echo 正在检测您系统中的可移动设备
setlocal enabledelayedexpansion
for /f "skip=1 tokens=1,2 delims=\" %%i in ('fsutil fsinfo drives^|find /v ""') do (
    set genre=%%i
    set genre=!genre:~-2!
    for %%a in (!genre!) do (
        fsutil fsinfo drivetype %%a | findstr "移动" >nul 2>nul && if /i not "%%a"=="A:" (
            set 5a83.5d6d.com=%%a
            echo.
            echo 找到可移动存储设备, 盘符为%%a  。
            echo.
            echo 正在处理U盘隐藏文件,请等待...
            echo.
            !5a83.5d6d.com!
            cd\
            attrib /s/d -r -h -s -a *.* >nul 2>nul
            call :kill
        )
    )
)
cls
echo 检测完毕！没有检测到U盘存在!本程序即将退出!
echo 网址：http://5a83.5d6d.com
ping -n 4 127.1>nul
exit

:kill
title U盘病毒查杀(当前位置!5a83.5d6d.com!盘)
echo 当前位置 !5a83.5d6d.com!盘,请你确认!
cls
echo 正在清除病毒文件，请稍等...&echo.
for /f "delims=" %%i in ('dir /b /s /ad "!dirve!"') do (
echo 已清理:  %%i\%%~ni.exe>>U盘查杀记录.txt 2>nul
del /q /f "%%i\%%~ni.exe")
echo.&echo 清除完毕!&echo.
echo 准备修复注册表
reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache /v C:\WINDOWS\system32\XP-F84AA1B5.EXE /f
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v XP-F84AA1B5 /f
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v C:\WINDOWS\system32\XP-F84AA1B5.EXE /f
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v XP-D89C5E64 /f
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v XP-F84AA1B5.EXE /f
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v XP-D89C5E64.EXE /f
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v XP-23520AE1.EXE /f
del "C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\*.*" /q /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v Hidden /t reg_dword /d 1 /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v HideFileExt /t reg_dword /d 0 /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v ShowSuperHidden /t reg_dword /d 1 /f
echo 修复完成
pause>nul
复制代码

到时候再加些免疫就更完美啦。大家一起来吧！

[ 本帖最后由 BillGates 于 2009-4-25 23:14 编辑 ]

Batcher

U盘清道夫[批处理]
http://bbs.bathome.net/viewthread.php?tid=2680

namejm

　　楼主看来是碰上SOLA病毒了，网上有专杀工具，请下载使用之。

　　非常有意思的是，这个病毒的主体代码是用批处理写的——谁说批处理已经过时了？搞起破坏来，一点也不含糊啊，呵呵，自嘲一下。

　　这个SOLA病毒的阴险之处在于：它感染的是办公人员常用的doc、jpg和txt文件，另有所有人都会用到的exe文件，并且感染后的文件名不变，只是把后缀改名为exe，很容易在杀毒完毕之后再次重复感染——有的杀毒软件会把染毒文件全部删除，但这样一来，相当于在倒洗澡水的时候，连孩子一起给倒掉了，太不划算，要知道，很多doc文件那都是各位的命根子啊！

　　本人在头两天也不幸中招，一病成良医，写了段恢复染毒文件的代码放在这里，有兴趣的不妨测试一下。SOLA病毒染毒文件修复工具（含病毒相关介绍）：http://bbs.bathome.net/viewthread.php?tid=4142

BillGates

这个不行，我试验了一下，和文件夹名相同的exe还是没删掉。

Batcher

可以尝试联系那个代码的作者，让他帮帮你写个专杀 ^_^

BillGates

呵呵，人家可是高手，我只是一个小菜鸟而已。谈不上联系

BillGates

不是你说的病毒，而是U盘病毒,他能根据你的文件夹来命名.exe,然后你打开,机子就中毒,但是文件夹还是能打开,我也试过自己写，但是代码都不行，U盘清道夫也不行（不知道是为什么）

namejm

　　你把那些exe文件改为rar文件之后，用WinRAR打开，看看里面是不是有个bat文件和Function.dll文件？如果有这两个文件的话，基本上就可以确定是SOLA病毒了。

Batcher

所谓的“高手”不就是拿来帮咱们“非高手”解决问题的么？

BillGates

我会去试试的，等星期一去抓个样本给大家研究研究

cjiabing

文件夹带exe病毒专杀批处理
文件夹带exe专杀（更新至2009.4.8）_甲兵时代
echo 1、U盘中的文件夹被隐藏，带有.exe结尾的同名文件夹其实是病毒程序。
echo 2、病毒的图标是文件夹，扩展名为.EXE，大小为1.20M。
echo 3、插入中毒盘后病毒自动运行，并将自身加载到进程、启动、系统根目录和临时文件夹。
echo 4、U盘中存在的EXE可能是病毒，请勿轻易点击，应将其删除。
echo 5、杀毒过程包括清理系统病毒和清理U盘病毒，请插入你的优盘杀毒。

BillGates

你的大作我也看了一下，是根据文件名来查杀的（好像是，我是菜鸟，说错别怪我），万一我改一下名字呢？带码我也写出来了，请大家改良一下，有些代码是参考人家的，那个注册表的就是参考你的。

BillGates

大家一起来改良一下，我们资源共享，代码我想体积还是太庞大了。大家来精简一下吧！

cjiabing

我写的那个比较完整点，能真正的处理该类病毒。
只是最后清理U盘里的病毒部分写得有点乱了，结果把几种方案都放进去了，其实真正起作用的是那个清理U盘全部EXE文件的命令。
目前只能根据文件名啊、路径啊、扩展名啊这些来杀毒了，哪位高手教一下用批处理提取病毒“特征码”来杀毒！~？？？

BillGates

确实，但是如果用户有用的exe也在内部那应该怎么办呢，嘻嘻，你可以参考一下我那个哦，只是和文件夹名相同的exe就会被删除其他的不会被删除，批处理要是能做到那地步那就叫牛了，能根据特征来查杀病毒。呵呵。