无忧启动论坛

标题: [原创[2月11日更新]注册表限制威金、熊猫、金猪病毒的运行 [打印本页]
作者: 6618    时间: 2007-2-9 06:51
标题: [原创[2月11日更新]注册表限制威金、熊猫、金猪病毒的运行
熊猫等专杀一大堆,这个东东有什么特色呢?这是本人摸索了几天编写的一个批处理文件,网上是绝对找不到的,其主要原理是在注册表中限制熊猫、威金、金猪等主程序的运行,目前阻止:FuckJacks.exe、spcolsv.exe、spoclsv.exe、sppoolsv.exe、suchost.exe、Logo1_.exe、0Sy.exe、1Sy.exe、2Sy.exe、3Sy.exe、4Sy.exe、5Sy.exe、6Sy.exe、EXP10RER.com、EXP10RER.exe、EXPl0RER.exe、vipbkv.exe、rose.exe、sxs.exe......等病毒文件的运行。
运行这个批处理后,这些病毒可执行文件将不能运行。就算已感染了病毒,且病毒正在运行,那也没关系,运行这个批处理后,重启电脑,这些病毒程序将不能运行。
我是不是在吹牛?试试就知道!

这个批处理的内容如下:我提供的目前来说应是一种新的免疫方法,注意不要把系统进程比如LSASS.EXE等加进去,否则重启电脑后连系统都进不了。这个批处理不再更新,由namejm朋友精简了代码, 核心代码就只有两条 for 语句,可以适应系统分区不在C盘的情况。请和附件中的 list.ini 配套使用,有需要的朋友可自行更新,把病毒的可执行程序加进list.ini去就行了:
在此感谢namejm朋友!

  2. @echo off
  3. mode con cols=84 lines=21
  4. title 注册表限制威金、熊猫、金猪病毒运行
  5. color 4f
  6. cls
  7. echo.
  8. echo.
  9. echo                     注册表限制威金、熊猫、金猪病毒的运行 for /XP
  10. echo          -----------------------------------------------------------------
  11. echo.
  12. echo              此批处理可以限制2007年2月9日前的威金、熊猫、金猪病毒的运行。
  13. echo          比如运行一个SETUP.EXE的熊猫病毒,该病毒会生成c:\WINDOWS\SYTEM32\
  14. echo          FuckJacks.exe,由于我限制了FuckJacks.exe的运行,所以不管怎么双击
  15. echo          运行SETUP.EXE,都不能成功运行病毒c:\WINDOWS\SYTEM32\FuckJacks.exe
  16. echo          因而病毒也就起不了作用,等于废了。
  17. echo.                              
  18. echo                                                                            6618   2007年2月10日
  19. echo                                                                           Modified by JM 07年2月11日
  20. echo.
  21. echo          [F] 按 F 键进行注册表限制
  22. echo          [U] 按 U 键解除注册表限制
  23. echo          [Q] 按其他任意键退出
  24. echo          -----------------------------------------------------------------
  25. echo.

  27. set route=HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
  28. SET Choice=
  29. SET /P Choice=         请选择要进行的操作:  
  30. IF /I '%Choice:~0,1%'=='f' GOTO fix
  31. IF /I '%Choice:~0,1%'=='u' GOTO unfix
  32. exit

  34. :fix
  35. echo.
  36. echo                           正在进行免疫操作,请稍侯...  
  37. :: 下一句中的 "全盘禁止运行%%i" 可以替换成任意的字符,都能起到全盘禁止运行指定exe的效果
  38. for /f %%i in (list.ini) do (
  39.     reg add "%route%\%%i" /v Debugger /t REG_SZ /d 全盘禁止运行%%i /f >nul 2>nul
  40. )
  41. cls
  42. for %%i in (c d e f g h i j k l m n o p q r s t u v w x y z) do del /a /f /q %%i:\autorun.inf 2>nul
  43. cls
  44. echo.&echo.&echo.&echo.&echo.
  45. echo                 已在注册表中限制威金、熊猫、金猪病毒的运行。
  46. echo.   
  47. echo                 如果已中了此类病毒,运行这个批处理后,请
  48. echo.
  49. echo                 重启电脑进行杀毒。
  50. echo.               
  51. echo                        感谢使用,按任意键退出...
  52. pause>nul
  53. exit

  55. :unfix
  56. echo.
  57. echo                           正在解除限制,请稍侯...  
  58. for /f %%i in (list.ini) do reg delete "%route%\%%i" /f >nul 2>nul
  59. cls
  60. echo.&echo.&echo.&echo.&echo.&echo.&echo.
  61. echo                 已解除注册表中对熊猫、威金、金猪病毒的制限。
  62. echo.   
  63. echo                  感谢使用,按任意键退出...
  64. pause>nul
复制代码

[ 本帖最后由 6618 于 2007-4-30 09:05 AM 编辑 ]

0.jpg (59.82 KB, 下载次数: 266)

0.jpg

1.jpg (89.23 KB, 下载次数: 280)

1.jpg

2.jpg (91.43 KB, 下载次数: 275)

2.jpg

注册表限制熊猫病毒运行.rar

1.69 KB, 下载次数: 887, 下载积分: 无忧币 -2

list.rar

1.52 KB, 下载次数: 413, 下载积分: 无忧币 -2

作者: xdg3669    时间: 2007-2-9 07:38
支持!一种免疫好方法!收下。
作者: lcy163    时间: 2007-2-9 08:45
果然是好东西
作者: barton    时间: 2007-2-9 08:55
强。。。。。


谢谢
作者: 6618    时间: 2007-2-9 09:23
多谢各位朋友的支持,我也顶一帖,如果在使用的过程中发现什么问题,欢迎跟帖,发现新的病毒变种也欢迎跟帖,谢谢!
作者: barton    时间: 2007-2-9 09:30
如果有新的变种出现,可能还需要适当的更新。。。
作者: maoyefeng    时间: 2007-2-9 12:15
听起来很强,下去测试下。新方法啊。谢谢顶起大家测试。
作者: lightpeter    时间: 2007-2-9 13:07
是個好方法,我做過類似的東西.
我有個防止U盤感染自動運行性病毒的方法.在U盤根目錄下,放名稱分別為setup.exe,sxs.exe,autorun.inf的文件夾設置為自瀆隱藏屬性,熊貓燒香等病毒都無法入侵了.我是每個分區根目錄都有的.
作者: 6618    时间: 2007-2-9 14:21
原帖由 barton 于 2007-2-9 09:30 AM 发表
如果有新的变种出现,可能还需要适当的更新。。。

的确是这样的,同时由于我手头上的威金病毒的样本不多,对威金病毒限制得可能还不够好,熊猫病毒的样本我就收集得比较多,熊猫病毒不出新变种的话,估计用了这个批处理后,2月9日前的都是运行不了的。
作者: 6618    时间: 2007-2-9 14:22
原帖由 maoyefeng 于 2007-2-9 12:15 PM 发表
听起来很强,下去测试下。新方法啊。谢谢顶起大家测试。

多谢你的测试,如果可能,最好能反馈一下结果,让我更好的改进,谢谢!
作者: xdlys    时间: 2007-2-9 14:27
强,下一个,谢谢!!!
作者: learner    时间: 2007-2-9 15:08
被诺顿给杀了,提示有如下病毒:Trojan Horse
请6618版主检查一下顶楼的文件
作者: sunspot2004    时间: 2007-2-9 15:12
这个是个不错的办法
感谢lz提供
ps. 注册表中禁止运行程序是怎么操作的?
lz的方法貌似和网上常见的 不一样
其实网上的所谓一键通关  只是组策略罢了

[ 本帖最后由 sunspot2004 于 2007-2-9 03:16 PM 编辑 ]
作者: l2000    时间: 2007-2-9 15:38
这个软件好,我收藏了,谢谢
作者: 6618    时间: 2007-2-9 16:48
原帖由 learner 于 2007-2-9 03:08 PM 发表
被诺顿给杀了,提示有如下病毒:Trojan Horse
请6618版主检查一下顶楼的文件

是诺顿误报了。这是一个批处理文件,我用工具把它转为了EXE再把扩展名改了BAT的。
作者: 6618    时间: 2007-2-9 16:53
原帖由 sunspot2004 于 2007-2-9 03:12 PM 发表
这个是个不错的办法
感谢lz提供
ps. 注册表中禁止运行程序是怎么操作的?
lz的方法貌似和网上常见的 不一样
其实网上的所谓一键通关  只是组策略罢了

呵呵,我是用QUICK BATCH FILE把这个批处理转成EXE的,如何看原批理处,就考考朋友你了。
作者: jianch    时间: 2007-2-9 17:18
不错的
支持个
作者: dgxhls    时间: 2007-2-9 18:54
不错,加点味精。
作者: namejm    时间: 2007-2-9 19:08
  呵呵,我来提点意见:
  1、shift 1 这一句用意何在,暂时还不明白,似乎应写成 shift /1 才对,但是这样却有多此一举之嫌;
  2、代码还可以大为精简,比如重定向到 fix.reg 的语句,可以用括号把要 echo 的内容括起来,然后一次性重定向到reg文件中去;其实,也可以直接操作注册表,而无须生成临时文件;
  3、删除 autorun.inf 文件,可以不对文件属性进行操作,直接用 del /a /f /q %%a:\autorun.inf 就够了;
  4、@ 还可以减少若干个。
作者: lxl1638    时间: 2007-2-9 19:13
原帖由 6618 于 2007-2-9 04:53 PM 发表

呵呵,我是用QUICK BATCH FILE把这个批处理转成EXE的,如何看原批理处,就考考朋友你了。


找老毛就是了,他搞批处理是能手。
QUICK BATCH FILE好象是Delphi做的,QUICK BATCH FILE将批处理转成的EXE有Delphi的资源特征。
作者: namejm    时间: 2007-2-9 19:33
  在 %tmp% 目录下查找隐藏属性的 bt+数字.bat 为名的文件就是了:)
作者: fw85    时间: 2007-2-9 19:49
楼主强人!!!支持楼主,呵呵,下载来用下试试。
作者: xiaoy    时间: 2007-2-9 20:14
免疫后基本上的DOS程序都不能使用了
作者: 6618    时间: 2007-2-9 20:22
原帖由 namejm 于 2007-2-9 07:08 PM 发表
  呵呵,我来提点意见:
 呵呵,我来提点意见:
  1、shift 1 这一句用意何在,暂时还不明白,似乎应写成 shift /1 才对,但是这样却有多此一举之嫌;
  2、代码还可以大为精简,比如重定向到 fix.reg 的语句,可以用括号把要 echo 的内容括起来,然后一次性重定向到reg文件中去;其实,也可以直接操作注册表,而无须生成临时文件;
  3、删除 autorun.inf 文件,可以不对文件属性进行操作,直接用 del /a /f /q %%a:\autorun.inf 就够了;
  4、@ 还可以减少若干个。


我再试了一下,shift 1是用QUICK BATCH FILE转为EXE时自动生成的。后面的三点说的有理。
作者: 6618    时间: 2007-2-9 20:27
原帖由 xiaoy 于 2007-2-9 08:14 PM 发表
免疫后基本上的DOS程序都不能使用了

这是不太可能的。我没有免疫DOS程序的,你是不是用了其它的免疫?能否帖一张图上来?我在自己家的电脑限制后,DOS和平时一样的使用啊。

0.JPG (50.7 KB, 下载次数: 196)

0.JPG
作者: longines    时间: 2007-2-9 20:42
下了看看!!!支持个!!!
作者: semirmyway    时间: 2007-2-9 21:09
多谢楼主 。。楼主有点像是养马和养毒的。呵呵。。开个玩笑!!
作者: xiaoy    时间: 2007-2-9 21:26
我说的是DOS类的应用程序  不是DOS命令和批处理
比如Qbwin 编译生成的EXE文件 ,包括QBWIN也不能运行了
作者: zytlinux    时间: 2007-2-9 22:55
能不能直接共享一下原批处理文件,可以让我们这些小菜学习一下啊
作者: 鹤冲天    时间: 2007-2-10 00:40
原帖由 namejm 于 2007-2-9 07:08 PM 发表
  也可以直接操作注册表,而无须生成临时文件

用reg add命令无法在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下添加“项”啊!

  1. reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options" /v 123654.dll
复制代码

这样可以在“Image File Execution Options”项下添加一个值!

  1. reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ASSTE.dll" /v 123654.dll
复制代码

这样也可以在它现成的子项中添加一个值!“ASSTE.dll”为系统自代的子项!
  1. reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\123654.dll" /v 123654.dll
复制代码

这样就不行!!“123654.dll”这个自己要建立个子项就不行!!提示成功但并没有写进去!
何解???

[ 本帖最后由 鹤冲天 于 2007-2-10 12:41 AM 编辑 ]
作者: 飞鱼刀    时间: 2007-2-10 00:50
为有您这样的版主骄傲,谢谢了!
作者: sansa520    时间: 2007-2-10 01:55
这贴得顶上。。。不过。。。
兄弟。。看你硬盘收藏了很多样本。。能否发几个给我。。
作者: 6618    时间: 2007-2-10 05:36
原帖由 xiaoy 于 2007-2-9 09:26 PM 发表
我说的是DOS类的应用程序  不是DOS命令和批处理
比如Qbwin 编译生成的EXE文件 ,包括QBWIN也不能运行了

哦,这个我就没试了,但比较奇怪,我写的那个批处理并没有限制这个QBWIN的运行啊,能不能传一个QBWIN给我试试。
作者: 6618    时间: 2007-2-10 05:51
原帖由 zytlinux 于 2007-2-9 10:55 PM 发表
能不能直接共享一下原批处理文件,可以让我们这些小菜学习一下啊
原帖由 namejm 于 2007-2-9 07:33 PM 发表
  在 %tmp% 目录下查找隐藏属性的 bt+数字.bat 为名的文件就是了:)
作者: kangyi    时间: 2007-2-10 07:01
如果病毒直接删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Image File Execution Options这个键你照样没辙
不过托6618的福,我总算搞明白了为什么有的王八机器里不能运行installshield等界面的安装程序了,,,感谢!
作者: qqj    时间: 2007-2-10 09:52
下载试用,好像从来没有中过毒。

也许与我的上网习惯有关吧。
作者: frankkf    时间: 2007-2-10 10:17
支持!一种免疫好方法!收下。
如果有新的变种出现,可能还需要适当的更新
作者: kang333    时间: 2007-2-10 13:08
这样的好东西当然要支持了。多谢楼主。
作者: l112340    时间: 2007-2-10 13:13
支持!一种免疫好方法!收下。
作者: wz402    时间: 2007-2-10 13:38
非常感谢~~~
作者: sakula00544    时间: 2007-2-10 16:53
好东西应该顶!!!
作者: hero123    时间: 2007-2-10 17:51
谢谢,收下了。。。。原来只用建只读文件的方法。
作者: zmx9171    时间: 2007-2-10 19:13
这种方法好.......谢谢!
作者: taoty    时间: 2007-2-10 20:31
还没有来得及运行就让AVG给咔嚓了。
作者: zhangzhang    时间: 2007-2-10 22:09
马上给朋用以下。
作者: 6618    时间: 2007-2-10 23:14
原帖由 kangyi 于 2007-2-10 07:01 AM 发表
如果病毒直接删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Image File Execution Options这个键你照样没辙
不过托6618的福,我总算搞明白了为什么有的王八机器里不能运行installshield ...

呵呵,目前还没有病毒直接删除这个键,因而现在还能用。另,就算删了,一运行这个批处理,又写回去了。

[ 本帖最后由 6618 于 2007-2-11 02:14 AM 编辑 ]
作者: 6618    时间: 2007-2-10 23:16
原帖由 taoty 于 2007-2-10 08:31 PM 发表
还没有来得及运行就让AVG给咔嚓了。

如果可能你可以查看这个批处理,其只是一个批处理而已,不是病毒。我在第一帖中已帖了出来。

[ 本帖最后由 6618 于 2007-2-10 11:28 PM 编辑 ]
作者: hjm6624669    时间: 2007-2-11 00:57
6618出招,非同凡响。在下已用,谢谢!
作者: 6618    时间: 2007-2-11 02:10
原帖由 gd510090 于 2007-2-11 12:18 AM 发表
不能安装vmware+5.5.3+中英双语精简版+11-23
解除就能安装

可能是限制了vmware的主程序的运行,第一帖中已帖出了限制的EXE程序,对照一下,去掉相关的EXE估计就行了。

[ 本帖最后由 6618 于 2007-2-11 02:14 AM 编辑 ]
作者: 6618    时间: 2007-2-11 02:21
今晚参照做超级解霸的豪杰公司出的“PC熊猫烧香专杀“加入了大量的病毒主程序。

[ 本帖最后由 6618 于 2007-2-11 02:28 AM 编辑 ]

0.JPG (94.98 KB, 下载次数: 136)

0.JPG
作者: namejm    时间: 2007-2-11 02:38
  看了顶楼的代码,发现只是在注册表的固定位置添加不同的键值,并且 Debugger 的值都是CMD的搜索路径之一。既然是这样的话,换用 for 语句来读取配置文件里的病毒程序文件名的方式,可以使代码大为精简,预计10条左右就可以搞定。假如日后需要增减病毒文件名,只需编辑配置文件就可以了。
作者: 6618    时间: 2007-2-11 02:45
原帖由 namejm 于 2007-2-11 02:38 AM 发表
   看了顶楼的代码,发现只是在注册表的固定位置添加不同的键值,并且 Debugger 的值都是CMD的搜索路径之一。既然是这样的话,换用 for 语句来读取配置文件里的病毒程序文件名的方式,可以使代码大为精简,预计10条左右就可以搞定。假如日后需要增减病毒文件名,只需编辑配置文件就可以了。

如果可能还请朋友你帖出这个批处理,一来方便大家,二来也供我学习学习,谢谢!

[ 本帖最后由 6618 于 2007-2-11 02:50 AM 编辑 ]
作者: 鹤冲天    时间: 2007-2-11 09:30
偶也希望能看到!!谢谢!!
作者: 超无限    时间: 2007-2-11 09:42
要是系统在D盘或其它盘符呢?这个还能用吗??

好像都定义在C盘嘛。
作者: kinghappysun    时间: 2007-2-11 09:46
感谢楼主的好东东
作者: kinghappysun    时间: 2007-2-11 09:47
感谢楼主的好东东
作者: namejm    时间: 2007-2-11 10:32
  那我就贴一段代码出来,核心代码就只有三条 for 语句,可以适应系统分区不在C盘的情况。请和附件中的 list.ini 配套使用( list.ini 的内容提取自顶楼的代码部分,顺便发现顶楼的代码有两点疑问:1、第43到第47行免疫sppoolsv.exe的操作似乎重复了;2、第354行的 @echo "Debugger"="C:\\windows\\Logo1_.exe" >>unfix.reg 似乎应该是 @echo.>>unfix.reg.)。

  2. @echo off
  3. mode con cols=84 lines=21
  4. title 注册表限制威金、熊猫、金猪病毒运行
  5. color 4f
  6. cls
  7. echo.
  8. echo.
  9. echo                     注册表限制威金、熊猫、金猪病毒的运行 for /XP
  10. echo          -----------------------------------------------------------------
  11. echo.
  12. echo              此批处理可以限制2007年2月9日前的威金、熊猫、金猪病毒的运行。
  13. echo          比如运行一个SETUP.EXE的熊猫病毒,该病毒会生成c:\WINDOWS\SYTEM32\
  14. echo          FuckJacks.exe,由于我限制了FuckJacks.exe的运行,所以不管怎么双击
  15. echo          运行SETUP.EXE,都不能成功运行病毒c:\WINDOWS\SYTEM32\FuckJacks.exe
  16. echo          因而病毒也就起不了作用,等于废了。
  17. echo.                              
  18. echo                                                     6618   2007年2月10日
  19. echo                                               Modified by JM 07年2月11日
  20. echo.
  21. echo          [F] 按 F 键进行注册表限制
  22. echo          [U] 按 U 键解除注册表限制
  23. echo          [Q] 按其他任意键退出
  24. echo          -----------------------------------------------------------------
  25. echo.

  27. set route=HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
  28. SET Choice=
  29. SET /P Choice=         请选择要进行的操作:  
  30. IF /I '%Choice:~0,1%'=='f' GOTO fix
  31. IF /I '%Choice:~0,1%'=='u' GOTO unfix
  32. exit

  34. :fix
  35. echo.
  36. echo                           正在进行免疫操作,请稍侯...  
  37. :: 下一句中的 "全盘禁止运行%%i" 可以替换成任意的字符,都能起到全盘禁止运行指定exe的效果
  38. for /f %%i in (list.ini) do (
  39.     reg add "%route%\%%i" /v Debugger /t REG_SZ /d 全盘禁止运行%%i /f >nul 2>nul
  40. )
  41. cls
  42. echo.&echo.&echo.&echo.&echo.
  43. echo                 已在注册表中限制威金、熊猫、金猪病毒的运行。
  44. echo.   
  45. echo                 如果已中了此类病毒,运行这个批处理后,请
  46. echo.
  47. echo                 重启电脑进行杀毒。
  48. echo.               
  49. echo                        感谢使用,按任意键退出...
  50. pause>nul
  51. exit

  53. :unfix
  54. echo.
  55. echo                           正在解除限制,请稍侯...  
  56. for /f %%i in (list.ini) do reg delete "%route%\%%i" /f >nul 2>nul
  57. cls
  58. echo.&echo.&echo.&echo.&echo.&echo.&echo.
  59. echo                 已解除注册表中对熊猫、威金、金猪病毒的制限。
  60. echo.   
  61. echo                  感谢使用,按任意键退出...
  62. pause>nul
复制代码

  修改了一下代码,使得添加注册表限制的速度大为提升,约为原来的30%~50%,请下过的更新一下。
  又对比了一下6618的原代码,发现少了个删除每个分区下 autorun.inf 文件的功能,现在添加了一条 for 语句搞定,从而使得核心代码变成了三条 for 语句。

[ 本帖最后由 namejm 于 2007-2-12 11:16 AM 编辑 ]

list.rar

524 Bytes, 下载次数: 185, 下载积分: 无忧币 -2

作者: 6618    时间: 2007-2-11 15:08
原帖由 namejm 于 2007-2-11 10:32 AM 发表
  那我就贴一段代码出来,核心代码就只有两条 for 语句,可以适应系统分区不在C盘的情况。请和附件中的 list.ini 配套使用( list.ini 的内容提取自顶楼的代码部分,顺便发现顶楼的代码有两点疑问:1、第43到第4 ...

试了,确实可行,THANK YOU!这样更新更为方便了,学习了,1楼的第一帖已更新,适用于系统装在任何分区,有需要的朋友请重新下载。

[ 本帖最后由 6618 于 2007-2-11 03:10 PM 编辑 ]
作者: 太湖渔民    时间: 2007-2-11 17:13
在这里混,俺菜鸟都快变"专家"了~~~~~
作者: kangyi    时间: 2007-2-11 21:31
另外在这里问一下6618,如果有病毒首先判断根目录是否有auturun.inf文件夹(有则删之)然后再复制自己的auturun.inf文件怎么办(这个判断只执行一次)
貌似在U盘根目录建一个auturun.inf文件夹效果有限,而且这个文件夹占用4K的空间,对本来就十分狭小的U盘是个不小的浪费:)
作者: namejm    时间: 2007-2-11 22:16
  58楼的代码增添了删除每个分区下的 autorun.inf 文件的功能,请6618版主更新一下顶楼的代码。
作者: 6618    时间: 2007-2-11 22:45
原帖由 kangyi 于 2007-2-11 09:31 PM 发表
另外在这里问一下6618,如果有病毒首先判断根目录是否有auturun.inf文件夹(有则删之)然后再复制自己的auturun.inf文件怎么办(这个判断只执行一次)
貌似在U盘根目录建一个auturun.inf文件夹效果有限,而且这个 ...

这个批处理不是用这种方法免疫的。
作者: 6618    时间: 2007-2-11 22:49
原帖由 namejm 于 2007-2-11 10:16 PM 发表
  58楼的代码增添了删除每个分区下的 autorun.inf 文件的功能,请6618版主更新一下顶楼的代码。

好的,连代码和附件中的文件一并更新了,同时在LIST.INI中加入了更多的病毒程序,包括近几天开始流行的CTFNOM.EXE、IIS.EXE病毒。
作者: kangyi    时间: 2007-2-11 22:52
这个我知道,我是用regsnap看的您那个批处理对注册表做的改动的,我是说这里不是有朋友说在U盘根目录建个autorun.inf就可防止U盘病毒侵扰吗,我是问一下这种做法到底有多大程度的作用(不过我在一个病毒成灾的王八试过了,是那个sxs病毒,在U盘跟目录建个autorun.inf文件夹果然有效
作者: 6618    时间: 2007-2-11 22:59
我一般都不这样做,如果做就建一个常规下删不掉的,同时我觉得较碍眼——个人意见。
作者: 6618    时间: 2007-2-11 23:09
to namejm朋友:
set route2=%systemroot%\%%i;%systemroot%\system32\%%i;%systemroot%\system32\wbem\%%i
似乎只是这样就行了:
set route2=%systemroot%\system32\%%i
这样的生成的注册表文件小一点点,运行病毒程序这样提错(图1),第一段代码则这样提错(图2):

[ 本帖最后由 6618 于 2007-2-11 11:11 PM 编辑 ]

0.JPG (19.71 KB, 下载次数: 103)

0.JPG

1.JPG (16.53 KB, 下载次数: 96)

1.JPG
作者: 6618    时间: 2007-2-11 23:33
原帖由 namejm 于 2007-2-11 10:32 AM 发表
  又对比了一下6618的原代码,发现少了个删除每个分区下 autorun.inf 文件的功能,现在添加了一条 for 语句搞定,从而使得核心代码变成了三条 for 语句。

我为什么要加上删除各分区的autorun.inf呢?我是这样想的,当某朋友中毒后,比如在各个分区下生成了sxs.exe和autorun.inf,由于限制了sxs.exe的运行,这个sxs.exe肯定运行不了的,这时一双击分区时由于autorun.inf的原因,马上就提错(类似上图的错),相当烦的,所以一并把autorun.inf删了,就不会留下这样的后患了。

[ 本帖最后由 6618 于 2007-2-11 11:34 PM 编辑 ]
作者: 鹤冲天    时间: 2007-2-12 02:37
原帖由 6618 于 2007-2-11 11:09 PM 发表
to namejm朋友:
set route2=%systemroot%\%%i;%systemroot%\system32\%%i;%systemroot%\system32\wbem\%%i
似乎只是这样就行了:
set route2=%systemroot%\system32\%%i
这样的生成的注册表文件小一点点,运行 ...

这个值的内容无所谓!图一是我注册表中的键值,图二是出错提示!
在有你图二的出错提示,好像是说语法错误!我认为有可能真是语法错误引起的!这个我是猜的!希望高手来解答这个问题!

图一.gif (3.53 KB, 下载次数: 97)

图一.gif

图2.gif (5.8 KB, 下载次数: 94)

图2.gif
作者: 鹤冲天    时间: 2007-2-12 02:49
原帖由 超无限 于 2007-2-11 09:42 AM 发表
要是系统在D盘或其它盘符呢?这个还能用吗??

好像都定义在C盘嘛。

通杀!!
作者: tianma    时间: 2007-2-12 07:21
好好,这就仔细看看。
作者: namejm    时间: 2007-2-12 10:38
原帖由 6618 于 2007-2-11 11:09 PM 发表
to namejm朋友:
set route2=%systemroot%\%%i;%systemroot%\system32\%%i;%systemroot%\system32\wbem\%%i
似乎只是这样就行了:
set route2=%systemroot%\system32\%%i
这样的生成的注册表文件小一点点,
原帖由 鹤冲天 于 2007-2-12 02:37 AM 发表
这个值的内容无所谓!图一是我注册表中的键值,图二是出错提示!
在有你图二的出错提示,好像是说语法错误!我认为有可能真是语法错误引起的!这个我是猜的!希望高手来解答这个问题!

  我对注册表不熟悉,之所以把 route2 设置成三个路径,是因为我发现 6618 兄最开始的注册表路径出现了三者之一,而批处理无法智能地判断哪个程序对应哪个路径,就把三个路径都写全了,免得有漏网之鱼,如果像 鹤冲天 兄说的那样,这个值的内容无所谓的话,那就太好了。
作者: 鹤冲天    时间: 2007-2-12 10:57
原帖由 namejm 于 2007-2-12 10:38 AM 发表
我对注册表不熟悉,之所以把 route2 设置成三个路径,是因为我发现 6618 兄最开始的注册表路径出现了三者之一,而批处理无法智能地判断哪个程序对应哪个路径,就把三个路径都写全了,免得有漏网之鱼,如果像 鹤冲天 兄说的那样,这个值的内容无所谓的话,那就太好了。  

没问题,只要不是空的就管用!!那怕是空格!
作者: namejm    时间: 2007-2-12 11:14
  呵呵,还真是那么回事啊,根本不管路径是否对应,全盘禁止运行呢,太强悍了,58楼的代码已经更新,麻烦6618把顶楼的也更新一下。
作者: 6618    时间: 2007-2-12 14:52
原帖由 namejm 于 2007-2-12 11:14 AM 发表
  呵呵,还真是那么回事啊,根本不管路径是否对应,全盘禁止运行呢,太强悍了,58楼的代码已经更新,麻烦6618把顶楼的也更新一下。

好的,1楼的代码已更新。附件中之前我已改成了set route2=%systemroot%\system32\%%i,这次没更新附件,如果想改成别的内容的朋友可自行更新,set route2=%systemroot%\system32\%%i我已实机测试了很多次的,效果非常好,更新成其他内容也是一样的,我没实机测试,各位朋友可以试试,限制的病毒主程序也可以自行手动更新,直接加到LIST.INI中即可。

[ 本帖最后由 6618 于 2007-2-12 03:07 PM 编辑 ]
作者: kangyi    时间: 2007-2-12 16:20
顺便问一下6618有什么软件可以做到更改这个注册肢呢,我相信那些网吧的网管没那个本事,他们只是熟练使用GHOST和一些软件而已

另外,您的这个免疫方法是针对病毒名下手的,但病毒名不可能是一成不变的吧

还有,不知道为什么竟然限制msiexec的运行(导致巨多合法软件无法安装!),不知道那些人是不是吃错药了,想问的是,是否也有病毒是通过调用msiexec来发作的呢?
作者: namejm    时间: 2007-2-12 16:57
  顶楼张贴出来的代码中,两处是 route1,一处是 %route%,没有统一起来,看来 6618 大意了哈。建议把代码用 [code] 和 [/code] 括起来,方便别人复制。
作者: 6618    时间: 2007-2-12 17:44
原帖由 kangyi 于 2007-2-12 04:20 PM 发表
顺便问一下6618有什么软件可以做到更改这个注册肢呢,我相信那些网吧的网管没那个本事,他们只是熟练使用GHOST和一些软件而已

另外,您的这个免疫方法是针对病毒名下手的,但病毒名不可能是一成不变的吧

还有,不知道为什么竟然限制msiexec的运行(导致巨多合法软件无法安装!),不知道那些人是不是吃错药了,想问的是,是否也有病毒是通过调用msiexec来发作的呢?  


没有限制msiexec运行啊,如果发现有软件装不了,可解除限制再装。

[ 本帖最后由 6618 于 2007-2-12 05:45 PM 编辑 ]
作者: 6618    时间: 2007-2-12 17:45
原帖由 namejm 于 2007-2-12 04:57 PM 发表
  顶楼张贴出来的代码中,两处是 route1,一处是 %route%,没有统一起来,看来 6618 大意了哈。建议把代码用  和  括起来,方便别人复制。

确实是我大意了,多谢朋友你提醒,已修正,并加上CODE.
作者: 沙漠之子    时间: 2007-2-12 20:03
原帖由 6618 于 2007-2-10 11:14 PM 发表

呵呵,目前还没有病毒直接删除这个键,因而现在还能用。另,就算删了,一运行这个批处理,又写回去了。

如果有病毒将该键值的权限改了,reg命令就不能对该值进行修改的说
作者: 不是画儿    时间: 2007-2-12 23:51
感谢版主的无私奉献哦
作者: oicqgood    时间: 2007-2-12 23:53
看来不错,相信以后用得上
作者: 6618    时间: 2007-2-13 00:36
原帖由 沙漠之子 于 2007-2-12 08:03 PM 发表

如果有病毒将该键值的权限改了,reg命令就不能对该值进行修改的说

在导入完注册表限制以后,我们也可以先修改其权限,让病毒无法改,不过个人觉得现在还没必要这样做。
作者: fu398    时间: 2007-2-13 00:52
谢谢!真正的及时雨,使用后一定会反馈结果。
作者: cgn    时间: 2007-2-13 02:26
果然是好东西 .........
作者: dec017    时间: 2007-2-13 06:33
加油!大大
作者: svcd2008    时间: 2007-2-13 09:01
提示: 作者被禁止或删除 内容自动屏蔽
作者: chowyu    时间: 2007-2-13 16:04
提示: 作者被禁止或删除 内容自动屏蔽
作者: 915    时间: 2007-2-14 20:19
提示: 作者被禁止或删除 内容自动屏蔽
作者: jxwxf    时间: 2007-2-14 20:52
不错,谢谢楼主分享
作者: Webdiy    时间: 2007-2-14 20:58
病毒作者已经被抓起来了,而且出了一个专杀,200多K,不知道能不能放上来,我试一下看

Worm_Nimaya_xt110.rar

228.2 KB, 下载次数: 109, 下载积分: 无忧币 -2

作者: rock269    时间: 2007-2-15 20:20
偶下载一个试一下,不过偶个电脑很少染毒
作者: xsjlai88    时间: 2007-2-15 23:29
版主强!为你们感到骄傲!
作者: lbnmg    时间: 2007-2-15 23:29
xiexie.louzhu
作者: szcaizai    时间: 2007-2-16 09:58
非常感谢,备用.
作者: xy8892    时间: 2007-2-24 15:50
不错,谢谢楼主分享
作者: 坏蛋哥哥    时间: 2007-2-27 01:36
支持!一种免疫好方法
作者: lndlh    时间: 2007-3-28 16:08
:hug: :hug: :hug:
作者: zhengzhiyu    时间: 2007-3-29 09:28
hao
yong yong
作者: afeiwei    时间: 2007-3-29 13:56
好东西收藏了
作者: it2000    时间: 2007-3-30 20:49
收藏起来,空了加到光盘里安装就免疫



欢迎光临 无忧启动论坛 (http://bbs.wuyou.net/) Powered by Discuz! X3.3