前几天爸爸办公室的小姑娘说办公室里电脑打开瑞星就结束不了了
我去看了一下,哎呦,有个进程是nboqcey.exe,原理是令人位置汗颜的机器狗….
因为没有上网,没法升级瑞星。仔细分析了下进程,还有个afdyvnr.exe,两个进程需要同时禁用才能结束。
考虑到中的机器应该不只一台,写了一个批处理包:
因为病毒进程一般都是守护进程,通过任务管理器很难同时杀死两个进程,所以先写个能同时杀死多进程的批处理:
@echo off if s%1==s goto end echo %1 's task Killing... :init taskkill /f /im %1.exe 2>nul taskkill /f /im %2.exe 2>nul taskkill /f /im %3.exe 2>nul taskkill /f /im %4.exe 2>nul taskkill /f /im %5.exe 2>nul taskkill /f /im %6.exe 2>nul taskkill /f /im %7.exe 2>nul taskkill /f /im %8.exe 2>nul taskkill /f /im %9.exe 2>nul echo kill ok;Loading again; goto init :end |
因为病毒都是文件一般都是系统+隐藏+只读属性,所以还要写一个改属性为正常属性并且同时删除文件的批处理:
@echo off attrib -s -h -r %1 del %1 |
主要批处理就这些,可以点击这里下载测试(http://tjcdfs.com/products/virustoolkit.rar)
里边有个eg.txt,打开Loading.bat,将里边的内容复制到命令提示符中就可以清除机器狗病毒,当然还可以扩展做到清除更过病毒。下面是eg.txt的内容:
::清除加密狗的方法 ::打开:Loading.bat,复制一下内容到Loading.bat打开的窗口 k afdyvnr nboqcey d c:\fhrqdpi.exe d d:\fhrqdpi.exe d e:\fhrqdpi.exe d f:\fhrqdpi.exe d j:\fhrqdpi.exe d k:\fhrqdpi.exe d l:\fhrqdpi.exe d c:\autorun.inf d d:\autorun.inf d e:\autorun.inf d f:\autorun.inf d j:\autorun.inf d k:\autorun.inf d l:\autorun.inf ::dir /s /a c:\nboqcey.exe 可有找c:\下所有的nboqcey.exe d "C:\Program Files\Common Files\System\nboqcey.exe" d "C:\Program Files\Common Files\System\pydwhcw.inf" d "c:\Program Files\Common Files\Microsoft Shared\afdyvnr.exe" echo gaga,it's ok. |
加密狗是利用注册表启动的,因为所有病毒已经被删除,所以不用清理注册表了。
病毒Toolkit By tjcdfs.com
==================================================================
k 1 2 .. 9 循环的方式结束进程1.exe 2.exe 3.exe …9.exe
v c 显示C:\autorun.inf的内容
s c 显示C:\autorun.inf的文件信息
d c:\1.exe 强制删除1.exe(无论是否隐藏)
s* 系统支持文件
==================================================================
病毒Toolkit使用说明,以加密狗为例:
1.v c 查看auto病毒程序的文件名(fhrqdpi.exe)
2.上网查进程(afdyvnr.exe nboqcey.exe)
3.执行k afdyvnr nboqcey,循环结束进程
4.d c:\fhrqdpi.exe 删除文件
5.到注册表中搜索afdyvnr.exe,nboqcey.exe并删除
6.重起就OK了
==================================================================
更多程序请访问:tjcdfs.com