 |
|
|
如果楼主不是做专杀工具大批量使用的话,不建议使用批处理,一个杀毒软件比较省事。比如,装个小a,开机扫一下 如果你确实需要的话,12345678是文件大小,单位字节,exe是文件后缀。
|
| 服务器一般都用sep。手工搞那得多麻烦 |
窄口牛 发表于 2016-12-28 08:52 拷贝1.txt到所有目录,然后将1.TXT重命名为上级目录.exe |
| 非常好用,谢谢 |
|
本帖最后由 不知 于 2016-12-27 21:43 编辑 已经实现了固定大小的文件删除. ______________________________________________ @echo off rem 设置文件的大小 set num=6 rem 设置文件后缀名 set suf=exe set root="%cd%" call :find %root% pause & exit :find CD %1 for /F %%i in ('dir /A:-D /B *.%suf%') do if ERRORLEVEL 0 call :deal %%i for /F %%i in ('dir /A:D /B') do call :find %%i if "%cd%"==%root% pause & exit CD .. goto :EOF :deal echo 正在查找 %cd% set file=%1 for /f %%I in ('dir /A /B %file%') do set numx=%%~zI rem 对符合条件的文件进行处理 if %num%==%numx% del /s /q %file% goto :EOF :EOF _______________________________________________________________ 1.文件的大小可以直接用dir命令查看。 2.num变量保存的就是文件的大小,需更改使用。 3.不宜把批处理放在目录级数太多的地方(容易因为for命令的嵌套级数太多而停止运行) 4.会出现很多找不到文件,是因为当前目录没有符合后缀名的文件,忽略即可。 
删除固定大小的文件.7z
(460 Bytes, 下载次数: 11)
|
| 25/39个杀出,但是都不是敏感杀灭,就是只逮活动的,不活动的都不管。 |
|
MD5: 61054f696e8e6335cc55ce82627b8d5f 文件类型: Autoit 出品公司: 版本: 3.2.4.9---3, 2, 4, 9 壳或编译器信息: PACKER:UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay] 子文件信息: AutoItScript / 544e814e24974b549a1054d2685f4ea5 / Unknown 关键行为 行为描述: 在根目录创建自运行文件 详情信息: C:\DiskX\autorun.inf 行为描述: 设置特殊文件属性 详情信息: C:\WINDOWS\system32\SSVICHOSST.exe 行为描述: 修改注册表_启动项 详情信息: \REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Run\Yahoo Messengger 进程行为 行为描述: 隐藏窗口创建进程 详情信息: ImagePath = , CmdLine = c:\windows\system32\cmd.exe /c at /delete /yes ImagePath = , CmdLine = c:\windows\system32\cmd.exe /c at 09:00 /interactive /every:m,t,w,th,f,s,su c:\windows\system32\ssvichosst.exe 行为描述: 创建进程 详情信息: ImagePath = C:\WINDOWS\system32\cmd.exe, CmdLine = C:\WINDOWS\system32\cmd.exe /C AT /delete /yes ImagePath = C:\WINDOWS\system32\at.exe, CmdLine = AT /delete /yes ImagePath = C:\WINDOWS\system32\cmd.exe, CmdLine = C:\WINDOWS\system32\cmd.exe /C AT 09:00 /interactive /EVERY:m,t,w,th,f,s,su C:\WINDOWS\system32\SSVICHOSST.exe ImagePath = C:\WINDOWS\system32\at.exe, CmdLine = AT 09:00 /interactive /EVERY:m,t,w,th,f,s,su C:\WINDOWS\system32\SSVICHOSST.exe 行为描述: 创建本地线程 详情信息: C:\Documents and Settings\Administrator\Local Settings\%temp%\1458474970.549419.exe C:\Documents and Settings\Administrator\Local Settings\%temp%\1458474970.549744.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\at.exe 行为描述: 进程退出 详情信息: N/A 行为描述: 枚举进程 详情信息: N/A 文件行为 行为描述: 创建文件 详情信息: C:\WINDOWS\system32\SSVICHOSST.exe C:\WINDOWS\SSVICHOSST.exe C:\WINDOWS\system32\autorun.ini C:\DiskX\New Folder.exe C:\DiskX\SSVICHOSST.exe 行为描述: 创建可执行文件 详情信息: C:\WINDOWS\system32\SSVICHOSST.exe C:\WINDOWS\SSVICHOSST.exe C:\DiskX\New Folder.exe C:\DiskX\SSVICHOSST.exe 行为描述: 复制文件 详情信息: C:\Documents and Settings\Administrator\Local Settings\%temp%\1458474970.557612.exe ---> C:\WINDOWS\system32\SSVICHOSST.exe C:\Documents and Settings\Administrator\Local Settings\%temp%\1458474970.557991.exe ---> C:\WINDOWS\SSVICHOSST.exe C:\WINDOWS\SSVICHOSST.exe ---> x:\New Folder.exe C:\WINDOWS\system32\SSVICHOSST.exe ---> x:\SSVICHOSST.exe C:\WINDOWS\system32\autorun.ini ---> x:\autorun.inf 行为描述: 设置特殊文件属性 详情信息: C:\WINDOWS\system32\SSVICHOSST.exe 行为描述: 查找文件 详情信息: FileName = C:\Documents and Settings FileName = C:\Documents and Settings\Administrator FileName = C:\Documents and Settings\Administrator\Local Settings FileName = C:\Documents and Settings\Administrator\Local Settings\Temp FileName = C:\Documents and Settings\Administrator\Local Settings\%temp% FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%\1458474970.561921.exe FileName = C:\WINDOWS\system32\SSVICHOSST.exe FileName = SSVICHOSST.exe FileName = C:\WINDOWS\SSVICHOSST.exe FileName = C:\WINDOWS FileName = C:\WINDOWS\system32 FileName = C:\WINDOWS\system32\cmd.exe FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%\AT.* FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%\AT FileName = C:\Python27\AT.* 行为描述: 在根目录创建自运行文件 详情信息: C:\DiskX\autorun.inf 行为描述: 修改文件内容 详情信息: C:\WINDOWS\system32\SSVICHOSST.exe ---> Offset = 0 C:\WINDOWS\system32\SSVICHOSST.exe ---> Offset = 65536 C:\WINDOWS\system32\SSVICHOSST.exe ---> Offset = 131072 C:\WINDOWS\system32\SSVICHOSST.exe ---> Offset = 196608 C:\WINDOWS\system32\SSVICHOSST.exe ---> Offset = 262144 C:\WINDOWS\SSVICHOSST.exe ---> Offset = 0 C:\WINDOWS\SSVICHOSST.exe ---> Offset = 65536 C:\WINDOWS\SSVICHOSST.exe ---> Offset = 131072 C:\WINDOWS\SSVICHOSST.exe ---> Offset = 196608 C:\WINDOWS\SSVICHOSST.exe ---> Offset = 262144 C:\WINDOWS\system32\autorun.ini ---> Offset = 0 C:\WINDOWS\system32\autorun.ini ---> Offset = 32 C:\WINDOWS\system32\autorun.ini ---> Offset = 62 C:\WINDOWS\system32\autorun.ini ---> Offset = 97 C:\DiskX\New Folder.exe ---> Offset = 0 注册表行为 行为描述: 修改注册表 详情信息: \REGISTRY\MACHINE\SYSTEM\ControlSet002\Services\Schedule\AtTaskMaxHours \REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Explorer\WorkgroupCrawler\Shares\shared 行为描述: 修改注册表_启动项 详情信息: \REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Run\Yahoo Messengger 其他行为 行为描述: 创建互斥体 详情信息: CTF.LBES.MutexDefaultS-* CTF.Compart.MutexDefaultS-* CTF.Asm.MutexDefaultS-* CTF.Layouts.MutexDefaultS-* CTF.TMD.MutexDefaultS-* CTF.TimListCache.FMPDefaultS-*MUTEX.DefaultS-* SHIMLIB_LOG_MUTEX 行为描述: 创建事件对象 详情信息: EventName = DINPUTWINMM EventName = Global\userenv: User Profile setup event 行为描述: 获取系统权限 详情信息: SE_LOAD_DRIVER_PRIVILEGE 行为描述: 枚举窗口 详情信息: N/A 行为描述: 可执行文件签名信息 详情信息: C:\WINDOWS\system32\SSVICHOSST.exe(签名验证: 未通过) C:\WINDOWS\SSVICHOSST.exe(签名验证: 未通过) C:\DiskX\New Folder.exe(签名验证: 未通过) C:\DiskX\SSVICHOSST.exe(签名验证: 未通过) 行为描述: 隐藏指定窗口 详情信息: [Window,Class] = [AutoIt v3,AutoIt v3] 行为描述: 可执行文件MD5 详情信息: C:\WINDOWS\system32\SSVICHOSST.exe ---> 61054f696e8e6335cc55ce82627b8d5f C:\WINDOWS\SSVICHOSST.exe ---> 61054f696e8e6335cc55ce82627b8d5f C:\DiskX\New Folder.exe ---> 61054f696e8e6335cc55ce82627b8d5f C:\DiskX\SSVICHOSST.exe ---> 61054f696e8e6335cc55ce82627b8d5f |
|
本帖最后由 ku588 于 2016-12-26 12:08 编辑 治理方向不对,治病除根,你删的不如病毒造的快,没什么用,你必须把造毒机器干死,然后再清理余孽才行,别治标不治本! 必须强力杀软除根,用国内的杀软吗估计没戏! |
| 自动运行的病毒,进PE杀毒能否清除。楼主能确定这病毒除了占用磁盘空间就没其它破坏作用吗?实在不行的话,可以先备份HKCR\.exe,然后破坏此键。将自己想要运行的EXE改后缀名为com(包括regedit),杀毒,用regedit.com 还原注册表。 |
窄口牛 发表于 2016-12-25 22:57 我是说文件传上来。。。 |
窄口牛 发表于 2016-12-25 22:46 传上来! |
窄口牛 发表于 2016-12-25 22:40 你这解决问题的方向不对,治标不治本 还不如让所有机器杀杀毒,禁止自动播放功能,即使找个“文件夹.exe专杀”也比批处理每天删的好。 |
窄口牛 发表于 2016-12-25 22:35 文件夹.exe 貌似是一种古老的自动运行病毒,主流的杀毒软件都能杀掉。 |
窄口牛 发表于 2016-12-25 22:21 功能不是特别完整的PE是不支持wmic的,可以肯定的是boot.wim是支持的! |
|
本帖最后由 窄口牛 于 2016-12-25 22:12 编辑 谢谢大师!!解决大问题了。 这个范围是?所在目录的所有? |
|
推荐卡巴斯基杀毒工具,在PE运行。 http://devbuilds.kaspersky-labs. ... atest/full/KVRT.exe |
Powered by Discuz! X3.3
© 2001-2017 Comsenz Inc.
组图打开中,请稍候......
收藏
支持
反对