窄口牛 发表于 2016-12-25 19:44:22

求个批处理,删除固定大小的exe文件

用于清理蠕虫病毒。

nttwqz 发表于 2016-12-25 21:59:39

如果楼主不是做专杀工具大批量使用的话,不建议使用批处理,一个杀毒软件比较省事。比如,装个小a,开机扫一下

如果你确实需要的话,12345678是文件大小,单位字节,exe是文件后缀。
wmic datafile where "filesize='12345678' and extension='exe'" call delete

不知 发表于 2016-12-25 20:22:34

杀毒最好还是还是用杀软吧,批处理主要是用来处理重复工作的。处理病毒的话,除非病毒未运行,效果不大。

gy0715 发表于 2016-12-25 21:03:42

本帖最后由 gy0715 于 2016-12-25 22:26 编辑

可以这样玩玩吗?

窄口牛 发表于 2016-12-25 21:39:36

这是个什么东西?
现在是靠win的搜索,一搜一下午,删除又得半夜,几万个文件,非常慢。

1400700226 发表于 2016-12-25 21:41:15

推荐卡巴斯基杀毒工具,在PE运行。

http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe

窄口牛 发表于 2016-12-25 22:11:39

本帖最后由 窄口牛 于 2016-12-25 22:12 编辑

谢谢大师!!解决大问题了。
这个范围是?所在目录的所有?

窄口牛 发表于 2016-12-25 22:21:33

我将获取到的两个值都试了一遍,没有反应

窄口牛 发表于 2016-12-25 22:25:05

nttwqz 发表于 2016-12-25 22:29:29

窄口牛 发表于 2016-12-25 22:21
我将获取到的两个值都试了一遍,没有反应

功能不是特别完整的PE是不支持wmic的,可以肯定的是boot.wim是支持的!

窄口牛 发表于 2016-12-25 22:32:26

本帖最后由 窄口牛 于 2016-12-25 22:33 编辑

这个好,很轻松一下就是一万个,不过删除还是需要大量时间。


还有就是它删除没个进度啥的。

窄口牛 发表于 2016-12-25 22:35:24

这个不是pe,是win2008r2,系统里面。这个病毒是文件夹病毒变异,通过局域网传播的,系统已经装有杀毒软件,但是共享文件及里会产生很多这种文件夹.exe

窄口牛 发表于 2016-12-25 22:39:12

之前win搜索删除了一万多,刚才这个工具删了一万,现在又是一万多。

窄口牛 发表于 2016-12-25 22:40:56

searchmyfiles
这个工具,不错。
我是想搞个批处理,每天定时工作,自己删除的。工具只能偶尔搞搞。

nttwqz 发表于 2016-12-25 22:41:06

窄口牛 发表于 2016-12-25 22:35
这个不是pe,是win2008r2,系统里面。这个病毒是文件夹病毒变异,通过局域网传播的,系统已经装有杀毒软件 ...

文件夹.exe

貌似是一种古老的自动运行病毒,主流的杀毒软件都能杀掉。

窄口牛 发表于 2016-12-25 22:46:12

杀不了的,这个是变种。

nttwqz 发表于 2016-12-25 22:48:15

窄口牛 发表于 2016-12-25 22:40
searchmyfiles
这个工具,不错。
我是想搞个批处理,每天定时工作,自己删除的。工具只能偶尔搞搞。

你这解决问题的方向不对,治标不治本

还不如让所有机器杀杀毒,禁止自动播放功能,即使找个“文件夹.exe专杀”也比批处理每天删的好。

nttwqz 发表于 2016-12-25 22:49:05

窄口牛 发表于 2016-12-25 22:46
杀不了的,这个是变种。

传上来!

窄口牛 发表于 2016-12-25 22:57:11

改天传多引擎扫描结果

nttwqz 发表于 2016-12-25 23:05:09

窄口牛 发表于 2016-12-25 22:57
改天传多引擎扫描结果

我是说文件传上来。。。

不知 发表于 2016-12-26 00:08:44

自动运行的病毒,进PE杀毒能否清除。楼主能确定这病毒除了占用磁盘空间就没其它破坏作用吗?实在不行的话,可以先备份HKCR\.exe,然后破坏此键。将自己想要运行的EXE改后缀名为com(包括regedit),杀毒,用regedit.com 还原注册表。

窄口牛 发表于 2016-12-26 09:44:52

是从局域网可写共享进来的,和本机系统无关。

窄口牛 发表于 2016-12-26 09:46:30

窄口牛 发表于 2016-12-26 09:44
是从局域网可写共享进来的,和本机系统无关。

稍等。
现在系统里有mse,以前它还管,现在没反应了。

ku588 发表于 2016-12-26 12:05:29

本帖最后由 ku588 于 2016-12-26 12:08 编辑

治理方向不对,治病除根,你删的不如病毒造的快,没什么用,你必须把造毒机器干死,然后再清理余孽才行,别治标不治本!

必须强力杀软除根,用国内的杀软吗估计没戏!

窄口牛 发表于 2016-12-26 20:34:51

MD5: 61054f696e8e6335cc55ce82627b8d5f
文件类型: Autoit
出品公司:
版本: 3.2.4.9---3, 2, 4, 9
壳或编译器信息: PACKER:UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
子文件信息: AutoItScript / 544e814e24974b549a1054d2685f4ea5 / Unknown

关键行为
行为描述: 在根目录创建自运行文件
详情信息: C:\DiskX\autorun.inf
行为描述: 设置特殊文件属性
详情信息: C:\WINDOWS\system32\SSVICHOSST.exe
行为描述: 修改注册表_启动项
详情信息: \REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Run\Yahoo Messengger

进程行为
行为描述: 隐藏窗口创建进程
详情信息: ImagePath = , CmdLine = c:\windows\system32\cmd.exe /c at /delete /yes
ImagePath = , CmdLine = c:\windows\system32\cmd.exe /c at 09:00 /interactive /every:m,t,w,th,f,s,su c:\windows\system32\ssvichosst.exe
行为描述: 创建进程
详情信息: ImagePath = C:\WINDOWS\system32\cmd.exe, CmdLine = C:\WINDOWS\system32\cmd.exe /C AT /delete /yes
ImagePath = C:\WINDOWS\system32\at.exe, CmdLine = AT /delete /yes
ImagePath = C:\WINDOWS\system32\cmd.exe, CmdLine = C:\WINDOWS\system32\cmd.exe /C AT 09:00 /interactive /EVERY:m,t,w,th,f,s,su C:\WINDOWS\system32\SSVICHOSST.exe
ImagePath = C:\WINDOWS\system32\at.exe, CmdLine = AT 09:00 /interactive /EVERY:m,t,w,th,f,s,su C:\WINDOWS\system32\SSVICHOSST.exe
行为描述: 创建本地线程
详情信息: C:\Documents and Settings\Administrator\Local Settings\%temp%\1458474970.549419.exe
C:\Documents and Settings\Administrator\Local Settings\%temp%\1458474970.549744.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\at.exe
行为描述: 进程退出
详情信息: N/A
行为描述: 枚举进程
详情信息: N/A

文件行为
行为描述: 创建文件
详情信息: C:\WINDOWS\system32\SSVICHOSST.exe
C:\WINDOWS\SSVICHOSST.exe
C:\WINDOWS\system32\autorun.ini
C:\DiskX\New Folder.exe
C:\DiskX\SSVICHOSST.exe
行为描述: 创建可执行文件
详情信息: C:\WINDOWS\system32\SSVICHOSST.exe
C:\WINDOWS\SSVICHOSST.exe
C:\DiskX\New Folder.exe
C:\DiskX\SSVICHOSST.exe
行为描述: 复制文件
详情信息: C:\Documents and Settings\Administrator\Local Settings\%temp%\1458474970.557612.exe ---> C:\WINDOWS\system32\SSVICHOSST.exe
C:\Documents and Settings\Administrator\Local Settings\%temp%\1458474970.557991.exe ---> C:\WINDOWS\SSVICHOSST.exe
C:\WINDOWS\SSVICHOSST.exe ---> x:\New Folder.exe
C:\WINDOWS\system32\SSVICHOSST.exe ---> x:\SSVICHOSST.exe
C:\WINDOWS\system32\autorun.ini ---> x:\autorun.inf
行为描述: 设置特殊文件属性
详情信息: C:\WINDOWS\system32\SSVICHOSST.exe
行为描述: 查找文件
详情信息: FileName = C:\Documents and Settings
FileName = C:\Documents and Settings\Administrator
FileName = C:\Documents and Settings\Administrator\Local Settings
FileName = C:\Documents and Settings\Administrator\Local Settings\Temp
FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%
FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%\1458474970.561921.exe
FileName = C:\WINDOWS\system32\SSVICHOSST.exe
FileName = SSVICHOSST.exe
FileName = C:\WINDOWS\SSVICHOSST.exe
FileName = C:\WINDOWS
FileName = C:\WINDOWS\system32
FileName = C:\WINDOWS\system32\cmd.exe
FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%\AT.*
FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%\AT
FileName = C:\Python27\AT.*
行为描述: 在根目录创建自运行文件
详情信息: C:\DiskX\autorun.inf
行为描述: 修改文件内容
详情信息: C:\WINDOWS\system32\SSVICHOSST.exe ---> Offset = 0
C:\WINDOWS\system32\SSVICHOSST.exe ---> Offset = 65536
C:\WINDOWS\system32\SSVICHOSST.exe ---> Offset = 131072
C:\WINDOWS\system32\SSVICHOSST.exe ---> Offset = 196608
C:\WINDOWS\system32\SSVICHOSST.exe ---> Offset = 262144
C:\WINDOWS\SSVICHOSST.exe ---> Offset = 0
C:\WINDOWS\SSVICHOSST.exe ---> Offset = 65536
C:\WINDOWS\SSVICHOSST.exe ---> Offset = 131072
C:\WINDOWS\SSVICHOSST.exe ---> Offset = 196608
C:\WINDOWS\SSVICHOSST.exe ---> Offset = 262144
C:\WINDOWS\system32\autorun.ini ---> Offset = 0
C:\WINDOWS\system32\autorun.ini ---> Offset = 32
C:\WINDOWS\system32\autorun.ini ---> Offset = 62
C:\WINDOWS\system32\autorun.ini ---> Offset = 97
C:\DiskX\New Folder.exe ---> Offset = 0

注册表行为
行为描述: 修改注册表
详情信息: \REGISTRY\MACHINE\SYSTEM\ControlSet002\Services\Schedule\AtTaskMaxHours
\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Explorer\WorkgroupCrawler\Shares\shared
行为描述: 修改注册表_启动项
详情信息: \REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Run\Yahoo Messengger

其他行为
行为描述: 创建互斥体
详情信息: CTF.LBES.MutexDefaultS-*
CTF.Compart.MutexDefaultS-*
CTF.Asm.MutexDefaultS-*
CTF.Layouts.MutexDefaultS-*
CTF.TMD.MutexDefaultS-*
CTF.TimListCache.FMPDefaultS-*MUTEX.DefaultS-*
SHIMLIB_LOG_MUTEX
行为描述: 创建事件对象
详情信息: EventName = DINPUTWINMM
EventName = Global\userenv: User Profile setup event
行为描述: 获取系统权限
详情信息: SE_LOAD_DRIVER_PRIVILEGE
行为描述: 枚举窗口
详情信息: N/A
行为描述: 可执行文件签名信息
详情信息: C:\WINDOWS\system32\SSVICHOSST.exe(签名验证: 未通过)
C:\WINDOWS\SSVICHOSST.exe(签名验证: 未通过)
C:\DiskX\New Folder.exe(签名验证: 未通过)
C:\DiskX\SSVICHOSST.exe(签名验证: 未通过)
行为描述: 隐藏指定窗口
详情信息: =
行为描述: 可执行文件MD5
详情信息: C:\WINDOWS\system32\SSVICHOSST.exe ---> 61054f696e8e6335cc55ce82627b8d5f
C:\WINDOWS\SSVICHOSST.exe ---> 61054f696e8e6335cc55ce82627b8d5f
C:\DiskX\New Folder.exe ---> 61054f696e8e6335cc55ce82627b8d5f
C:\DiskX\SSVICHOSST.exe ---> 61054f696e8e6335cc55ce82627b8d5f

窄口牛 发表于 2016-12-26 20:38:33

25/39个杀出,但是都不是敏感杀灭,就是只逮活动的,不活动的都不管。

不知 发表于 2016-12-27 21:41:27

本帖最后由 不知 于 2016-12-27 21:43 编辑

已经实现了固定大小的文件删除.
______________________________________________

@echo off
rem 设置文件的大小
set num=6
rem 设置文件后缀名
set suf=exe


set root="%cd%"
call :find %root%
pause & exit

:find
CD %1
for /F %%i in ('dir /A:-D /B *.%suf%') do if ERRORLEVEL 0 call :deal %%i
for /F %%i in ('dir /A:D /B') do call :find %%i
if "%cd%"==%root% pause & exit
CD ..
goto :EOF

:deal
echo 正在查找 %cd%
set file=%1
for /f %%I in ('dir /A /B %file%') do set numx=%%~zI
rem 对符合条件的文件进行处理
if %num%==%numx% del /s /q %file%
goto :EOF

:EOF
_______________________________________________________________
1.文件的大小可以直接用dir命令查看。
2.num变量保存的就是文件的大小,需更改使用。
3.不宜把批处理放在目录级数太多的地方(容易因为for命令的嵌套级数太多而停止运行)
4.会出现很多找不到文件,是因为当前目录没有符合后缀名的文件,忽略即可。



窄口牛 发表于 2016-12-28 01:04:34

非常好用,谢谢

窄口牛 发表于 2016-12-28 08:52:43

自己提前放个文件夹.exe,不知道会不会管用。

窄口牛 发表于 2016-12-28 08:53:55

窄口牛 发表于 2016-12-28 08:52
自己提前放个文件夹.exe,不知道会不会管用。

拷贝1.txt到所有目录,然后将1.TXT重命名为上级目录.exe
页: [1] 2
查看完整版本: 求个批处理,删除固定大小的exe文件