求个批处理，删除固定大小的exe文件

窄口牛 · 发表于 2016-12-25 19:44:22

用于清理蠕虫病毒。

nttwqz · 发表于 2016-12-25 21:59:39

如果楼主不是做专杀工具大批量使用的话，不建议使用批处理，一个杀毒软件比较省事。比如，装个小a，开机扫一下

如果你确实需要的话，12345678是文件大小，单位字节，exe是文件后缀。

wmic datafile where "filesize='12345678' and extension='exe'" call delete

复制代码

不知 · 发表于 2016-12-25 20:22:34

杀毒最好还是还是用杀软吧，批处理主要是用来处理重复工作的。处理病毒的话，除非病毒未运行，效果不大。

gy0715 · 发表于 2016-12-25 21:03:42

本帖最后由 gy0715 于 2016-12-25 22:26 编辑

可以这样玩玩吗？

文件查找SearchMyFiles2.77.zip (107.58 KB, 下载次数: 17)

窄口牛 · 发表于 2016-12-25 21:39:36

这是个什么东西？
现在是靠win的搜索，一搜一下午，删除又得半夜，几万个文件，非常慢。

1400700226 · 发表于 2016-12-25 21:41:15

推荐卡巴斯基杀毒工具，在PE运行。

http://devbuilds.kaspersky-labs. ... atest/full/KVRT.exe

窄口牛 · 发表于 2016-12-25 22:11:39

本帖最后由窄口牛于 2016-12-25 22:12 编辑

谢谢大师！！解决大问题了。
这个范围是？所在目录的所有？

窄口牛 · 发表于 2016-12-25 22:21:33

我将获取到的两个值都试了一遍，没有反应

窄口牛 · 发表于 2016-12-25 22:25:05

nttwqz · 发表于 2016-12-25 22:29:29

窄口牛发表于 2016-12-25 22:21
我将获取到的两个值都试了一遍，没有反应

功能不是特别完整的PE是不支持wmic的，可以肯定的是boot.wim是支持的！

窄口牛 · 发表于 2016-12-25 22:32:26

本帖最后由窄口牛于 2016-12-25 22:33 编辑

这个好，很轻松一下就是一万个，不过删除还是需要大量时间。

还有就是它删除没个进度啥的。

窄口牛 · 发表于 2016-12-25 22:35:24

这个不是pe，是win2008r2，系统里面。这个病毒是文件夹病毒变异，通过局域网传播的，系统已经装有杀毒软件，但是共享文件及里会产生很多这种文件夹.exe

窄口牛 · 发表于 2016-12-25 22:39:12

之前win搜索删除了一万多，刚才这个工具删了一万，现在又是一万多。

窄口牛 · 发表于 2016-12-25 22:40:56

searchmyfiles
这个工具，不错。
我是想搞个批处理，每天定时工作，自己删除的。工具只能偶尔搞搞。

nttwqz · 发表于 2016-12-25 22:41:06

窄口牛发表于 2016-12-25 22:35
这个不是pe，是win2008r2，系统里面。这个病毒是文件夹病毒变异，通过局域网传播的，系统已经装有杀毒软件 ...

文件夹.exe

貌似是一种古老的自动运行病毒，主流的杀毒软件都能杀掉。

窄口牛 · 发表于 2016-12-25 22:46:12

杀不了的，这个是变种。

nttwqz · 发表于 2016-12-25 22:48:15

窄口牛发表于 2016-12-25 22:40
searchmyfiles
这个工具，不错。
我是想搞个批处理，每天定时工作，自己删除的。工具只能偶尔搞搞。

你这解决问题的方向不对，治标不治本

还不如让所有机器杀杀毒，禁止自动播放功能，即使找个“文件夹.exe专杀”也比批处理每天删的好。

nttwqz · 发表于 2016-12-25 22:49:05

窄口牛发表于 2016-12-25 22:46
杀不了的，这个是变种。

传上来！

窄口牛 · 发表于 2016-12-25 22:57:11

改天传多引擎扫描结果

nttwqz · 发表于 2016-12-25 23:05:09

窄口牛发表于 2016-12-25 22:57
改天传多引擎扫描结果

我是说文件传上来。。。

不知 · 发表于 2016-12-26 00:08:44

自动运行的病毒，进PE杀毒能否清除。楼主能确定这病毒除了占用磁盘空间就没其它破坏作用吗？实在不行的话，可以先备份HKCR\.exe,然后破坏此键。将自己想要运行的EXE改后缀名为com（包括regedit），杀毒，用regedit.com 还原注册表。

窄口牛 · 发表于 2016-12-26 09:44:52

是从局域网可写共享进来的，和本机系统无关。

窄口牛 · 发表于 2016-12-26 09:46:30

窄口牛发表于 2016-12-26 09:44
是从局域网可写共享进来的，和本机系统无关。

稍等。
现在系统里有mse，以前它还管，现在没反应了。

ku588 · 发表于 2016-12-26 12:05:29

本帖最后由 ku588 于 2016-12-26 12:08 编辑

治理方向不对，治病除根，你删的不如病毒造的快，没什么用，你必须把造毒机器干死，然后再清理余孽才行，别治标不治本！

必须强力杀软除根，用国内的杀软吗估计没戏！

窄口牛 · 发表于 2016-12-26 20:34:51

MD5: 61054f696e8e6335cc55ce82627b8d5f
文件类型: Autoit
出品公司:
版本: 3.2.4.9---3, 2, 4, 9
壳或编译器信息: PACKER:UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay]
子文件信息: AutoItScript / 544e814e24974b549a1054d2685f4ea5 / Unknown

关键行为
行为描述: 在根目录创建自运行文件
详情信息: C:\DiskX\autorun.inf
行为描述: 设置特殊文件属性
详情信息: C:\WINDOWS\system32\SSVICHOSST.exe
行为描述: 修改注册表_启动项
详情信息: \REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Run\Yahoo Messengger

进程行为
行为描述: 隐藏窗口创建进程
详情信息: ImagePath = , CmdLine = c:\windows\system32\cmd.exe /c at /delete /yes
ImagePath = , CmdLine = c:\windows\system32\cmd.exe /c at 09:00 /interactive /every:m,t,w,th,f,s,su c:\windows\system32\ssvichosst.exe
行为描述: 创建进程
详情信息: ImagePath = C:\WINDOWS\system32\cmd.exe, CmdLine = C:\WINDOWS\system32\cmd.exe /C AT /delete /yes
ImagePath = C:\WINDOWS\system32\at.exe, CmdLine = AT /delete /yes
ImagePath = C:\WINDOWS\system32\cmd.exe, CmdLine = C:\WINDOWS\system32\cmd.exe /C AT 09:00 /interactive /EVERY:m,t,w,th,f,s,su C:\WINDOWS\system32\SSVICHOSST.exe
ImagePath = C:\WINDOWS\system32\at.exe, CmdLine = AT 09:00 /interactive /EVERY:m,t,w,th,f,s,su C:\WINDOWS\system32\SSVICHOSST.exe
行为描述: 创建本地线程
详情信息: C:\Documents and Settings\Administrator\Local Settings\%temp%\1458474970.549419.exe
C:\Documents and Settings\Administrator\Local Settings\%temp%\1458474970.549744.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\at.exe
行为描述: 进程退出
详情信息: N/A
行为描述: 枚举进程
详情信息: N/A

文件行为
行为描述: 创建文件
详情信息: C:\WINDOWS\system32\SSVICHOSST.exe
C:\WINDOWS\SSVICHOSST.exe
C:\WINDOWS\system32\autorun.ini
C:\DiskX\New Folder.exe
C:\DiskX\SSVICHOSST.exe
行为描述: 创建可执行文件
详情信息: C:\WINDOWS\system32\SSVICHOSST.exe
C:\WINDOWS\SSVICHOSST.exe
C:\DiskX\New Folder.exe
C:\DiskX\SSVICHOSST.exe
行为描述: 复制文件
详情信息: C:\Documents and Settings\Administrator\Local Settings\%temp%\1458474970.557612.exe ---> C:\WINDOWS\system32\SSVICHOSST.exe
C:\Documents and Settings\Administrator\Local Settings\%temp%\1458474970.557991.exe ---> C:\WINDOWS\SSVICHOSST.exe
C:\WINDOWS\SSVICHOSST.exe ---> x:\New Folder.exe
C:\WINDOWS\system32\SSVICHOSST.exe ---> x:\SSVICHOSST.exe
C:\WINDOWS\system32\autorun.ini ---> x:\autorun.inf
行为描述: 设置特殊文件属性
详情信息: C:\WINDOWS\system32\SSVICHOSST.exe
行为描述: 查找文件
详情信息: FileName = C:\Documents and Settings
FileName = C:\Documents and Settings\Administrator
FileName = C:\Documents and Settings\Administrator\Local Settings
FileName = C:\Documents and Settings\Administrator\Local Settings\Temp
FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%
FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%\1458474970.561921.exe
FileName = C:\WINDOWS\system32\SSVICHOSST.exe
FileName = SSVICHOSST.exe
FileName = C:\WINDOWS\SSVICHOSST.exe
FileName = C:\WINDOWS
FileName = C:\WINDOWS\system32
FileName = C:\WINDOWS\system32\cmd.exe
FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%\AT.*
FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%\AT
FileName = C:\Python27\AT.*
行为描述: 在根目录创建自运行文件
详情信息: C:\DiskX\autorun.inf
行为描述: 修改文件内容
详情信息: C:\WINDOWS\system32\SSVICHOSST.exe ---> Offset = 0
C:\WINDOWS\system32\SSVICHOSST.exe ---> Offset = 65536
C:\WINDOWS\system32\SSVICHOSST.exe ---> Offset = 131072
C:\WINDOWS\system32\SSVICHOSST.exe ---> Offset = 196608
C:\WINDOWS\system32\SSVICHOSST.exe ---> Offset = 262144
C:\WINDOWS\SSVICHOSST.exe ---> Offset = 0
C:\WINDOWS\SSVICHOSST.exe ---> Offset = 65536
C:\WINDOWS\SSVICHOSST.exe ---> Offset = 131072
C:\WINDOWS\SSVICHOSST.exe ---> Offset = 196608
C:\WINDOWS\SSVICHOSST.exe ---> Offset = 262144
C:\WINDOWS\system32\autorun.ini ---> Offset = 0
C:\WINDOWS\system32\autorun.ini ---> Offset = 32
C:\WINDOWS\system32\autorun.ini ---> Offset = 62
C:\WINDOWS\system32\autorun.ini ---> Offset = 97
C:\DiskX\New Folder.exe ---> Offset = 0

注册表行为
行为描述: 修改注册表
详情信息: \REGISTRY\MACHINE\SYSTEM\ControlSet002\Services\Schedule\AtTaskMaxHours
\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Explorer\WorkgroupCrawler\Shares\shared
行为描述: 修改注册表_启动项
详情信息: \REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Run\Yahoo Messengger

其他行为
行为描述: 创建互斥体
详情信息: CTF.LBES.MutexDefaultS-*
CTF.Compart.MutexDefaultS-*
CTF.Asm.MutexDefaultS-*
CTF.Layouts.MutexDefaultS-*
CTF.TMD.MutexDefaultS-*
CTF.TimListCache.FMPDefaultS-*MUTEX.DefaultS-*
SHIMLIB_LOG_MUTEX
行为描述: 创建事件对象
详情信息: EventName = DINPUTWINMM
EventName = Global\userenv: User Profile setup event
行为描述: 获取系统权限
详情信息: SE_LOAD_DRIVER_PRIVILEGE
行为描述: 枚举窗口
详情信息: N/A
行为描述: 可执行文件签名信息
详情信息: C:\WINDOWS\system32\SSVICHOSST.exe(签名验证: 未通过)
C:\WINDOWS\SSVICHOSST.exe(签名验证: 未通过)
C:\DiskX\New Folder.exe(签名验证: 未通过)
C:\DiskX\SSVICHOSST.exe(签名验证: 未通过)
行为描述: 隐藏指定窗口
详情信息: [Window,Class] = [AutoIt v3,AutoIt v3]
行为描述: 可执行文件MD5
详情信息: C:\WINDOWS\system32\SSVICHOSST.exe ---> 61054f696e8e6335cc55ce82627b8d5f
C:\WINDOWS\SSVICHOSST.exe ---> 61054f696e8e6335cc55ce82627b8d5f
C:\DiskX\New Folder.exe ---> 61054f696e8e6335cc55ce82627b8d5f
C:\DiskX\SSVICHOSST.exe ---> 61054f696e8e6335cc55ce82627b8d5f

窄口牛 · 发表于 2016-12-26 20:38:33

25/39个杀出，但是都不是敏感杀灭，就是只逮活动的，不活动的都不管。

不知 · 发表于 2016-12-27 21:41:27

本帖最后由不知于 2016-12-27 21:43 编辑

已经实现了固定大小的文件删除.
______________________________________________

@echo off
rem 设置文件的大小
set num=6
rem 设置文件后缀名
set suf=exe

set root="%cd%"
call :find %root%
pause & exit

:find
CD %1
for /F %%i in ('dir /A:-D /B *.%suf%') do if ERRORLEVEL 0 call :deal %%i
for /F %%i in ('dir /A:D /B') do call :find %%i
if "%cd%"==%root% pause & exit
CD ..
goto :EOF

:deal
echo 正在查找 %cd%
set file=%1
for /f %%I in ('dir /A /B %file%') do set numx=%%~zI
rem 对符合条件的文件进行处理
if %num%==%numx% del /s /q %file%
goto :EOF

:EOF
_______________________________________________________________
1.文件的大小可以直接用dir命令查看。
2.num变量保存的就是文件的大小，需更改使用。
3.不宜把批处理放在目录级数太多的地方（容易因为for命令的嵌套级数太多而停止运行）
4.会出现很多找不到文件，是因为当前目录没有符合后缀名的文件，忽略即可。

删除固定大小的文件.7z (460 Bytes, 下载次数: 11)

窄口牛 · 发表于 2016-12-28 01:04:34

非常好用，谢谢

窄口牛 · 发表于 2016-12-28 08:52:43

自己提前放个文件夹.exe，不知道会不会管用。

窄口牛 · 发表于 2016-12-28 08:53:55

窄口牛发表于 2016-12-28 08:52
自己提前放个文件夹.exe，不知道会不会管用。

拷贝1.txt到所有目录，然后将1.TXT重命名为上级目录.exe

		自动登录	找回密码
密码			注册

[求助] 求个批处理，删除固定大小的exe文件

点评

点评

点评

点评

点评

点评

点评