[sysshield]系统安全盾

wang6071 · 发表于 2007-11-19 01:10:46

原帖由 emca 于 2007-11-18 07:28 PM 发表
 http://www.china-antivirus.com/Html/zuixinbingdu/82327.html
这里的那个程序SystemSword 是怎么回事？作者也改为少爷了？

谢谢关心，是被人盗用了作品，新版从v1.67.14后在程序内做小校验避免被那种毫无技术含量的改资源盗用。

原帖由 freesoft00 于 2007-11-18 10:14 PM 发表
ie 安全项打开修复，wsyscheck进程死掉
还有。我用系统修复又键的时候有好多时候第一次没有反映，第二次又键修复才管用

可能您更新的较快，那个版本有点小BUG(是18日版为优化检测分类造成的),新版已修正，这里是新版v1.67.15
http://zhushui.uu1001.com/job.php?action=download&pid=tpc&tid=33&aid=158

[ 本帖最后由 wang6071 于 2007-11-19 01:14 AM 编辑 ]

gdlgh · 发表于 2007-11-19 08:50:49

有段时间没来，wang兄恢复更新了，下了！！！

tingyuqian · 发表于 2007-11-19 13:03:52

原帖由 wang6071 于 2007-11-19 01:10 AM 发表

谢谢关心，是被人盗用了作品，新版从v1.67.14后在程序内做小校验避免被那种毫无技术含量的改资源盗用。

可能您更新的较快，那个版本有点小BUG(是18日版为优化检测分类造成的),新版已修正，这里是新版 ...

晕倒！这样也行？！这种人……·#·@#@@!

freesoft00 · 发表于 2007-11-19 19:26:54

新版本试用没有什么问题

wang6071 · 发表于 2007-11-19 22:48:13

原帖由 freesoft00 于 2007-11-19 07:26 PM 发表
新版本试用没有什么问题

Wsyscheck1119(v1.67.16)

修正文件搜索中的匹配符问题,注意,默认是搜索最近最近一周内的新文件且过滤微软的。要搜索所有文件请取消这两个默认勾选。
多个搜索选项用;号分隔,匹配规则以abc.cmd文件为例说明如下：
注意:abc(只匹配abc,无扩展名,故搜不到abc.cmd)

可以搜到abc.cmd的情况有:
1:完全匹配
abc.cmd
2:使用*号匹配
*.*
*.cmd
abc.*或abc.c*
a*.cmd
abc.*
a*.*
3:使用?号匹配指定位置
a?b.?md
a*.cm?
?b?.*(以中间的b模糊匹配)

http://zhushui.uu1001.com/job.php?action=download&pid=tpc&tid=33&aid=160

[ 本帖最后由 wang6071 于 2007-11-19 11:07 PM 编辑 ]

freesoft00 · 发表于 2007-11-20 14:40:19

文件搜索中加入右键菜单就好了。
王兄能否加入命令行运行。

freesoft00 · 发表于 2007-11-20 15:32:12

数据安全实验室退出的这一款进程软件也有点剽窃王兄wsyscheck的嫌疑。
ASTToolsLoader

http://www.dswlab.com

没仔细看，只是怀疑

wang6071 · 发表于 2007-11-21 00:06:52

原帖由 freesoft00 于 2007-11-20 02:40 PM 发表
文件搜索中加入右键菜单就好了。
王兄能否加入命令行运行。

文件搜索感觉右键有点多余,所认就不做了.选择是可以支持Ctrl,shift多选的.
命令行觉得作用不是很大,为支持又得写不少代码增大体积,所以也就不考虑了.其实想想同类工具除了单一功能的是命令行用,绝大多数都是Gui操作的,可能也是从安全角度考虑吧.
比如增加一个 wsyscheck -ressdt,制作木马的可以打包到某安装程序中,后台运行一下再安装木马,后果是可想而知.

原帖由 freesoft00 于 2007-11-20 03:32 PM 发表
数据安全实验室退出的这一款进程软件也有点剽窃王兄wsyscheck的嫌疑。
ASTToolsLoader
http://www.dswlab.com
没仔细看，只是怀疑

这个不是,只是界面相仿,大部份沿用了超级巡警的文件，可能他的一个宣传版．

[ 本帖最后由 wang6071 于 2007-11-21 12:11 AM 编辑 ]

barton · 发表于 2007-11-21 13:08:44

无驱系统检测工具0816

刚刚发现这个好东西哦，很好用

只是说明不太详细。。。

freesoft00 · 发表于 2007-11-24 19:21:48

命令行觉得作用不是很大,为支持又得写不少代码增大体积

-------------------------------------------------------------------------
也可以单做一个，只要有syscheck的快速净化功能就可以了（功能可以不要太保守）。主要是想和其它工具配合简单杀毒删恶意软件。
如把其加入批处理中，先运行这个快速净化，然后在运行windows清理助手（助手现在也支持命令行了）。基本上小毒就搞定了。有时候帮朋友杀毒，实在不愿意跑一趟，也没什么重要数据。就先这样搞一下，不行了再去。大不了从装系统。

xdg3669 · 发表于 2007-11-25 20:37:50

今天又有更新了！不知有什么变化？

采薇蒹葭 · 发表于 2007-11-25 22:01:37

但是这个好东西会阻止锐捷的上网认证，，提示初始化网卡失败。。退出之后才能够认证。。

wangsea应该知道红叶所在学校，，能否去除对锐捷Ruijie Supplicant的监视。。？？

*:\Program Files\锐捷网络\Ruijie Supplicant\RuijieSupplicant.exe

[ 本帖最后由采薇蒹葭于 2007-11-25 10:05 PM 编辑 ]

queyao · 发表于 2007-11-30 19:32:55

已经更新到1129V2了

freesoft00 · 发表于 2007-12-1 18:59:35

用了一下最新版的wsyscheck。但进程中怎么有这么多的无路径的进程呀。
系统是xp的。系统有毒。

freesoft00 · 发表于 2007-12-1 19:04:20

除了上面的几个带路径，下面的都不带。
而且。安全检查活动文件中在开始菜单启动中有一个启动项。我在wsyscheck 中点修复没有什么反应

是不是我的当前用户不是管理员的原因

freesoft00 · 发表于 2007-12-1 19:05:22

内核检查和服务管理都是空白什么也没有

freesoft00 · 发表于 2007-12-1 19:21:08

下面的好多个进程我结束掉了，转眼又出现了。勾选禁止进程和文件创建也不行

freesoft00 · 发表于 2007-12-1 19:49:14

从启删除和dos删除可否加上环境变量和通配符的支持。还有支持从文件导入待删除的文件。
这样的话，就可以写脚本实现很强的功能。例如：
%progromfiles%\*.*
%systemroot%\?.*
%systemroot%\*1*.exe
%systemroot%\*2*.exe
%system32%\drivers\*.exe
%system32%\drivers\*.com
............
等等，这样是不是很强。脚本文件外置。他人可以共享别人写好的脚本实现删除。

从文件导入待删除的文件

比如红叶盘里有一个恶意软件免疫里面有好多恶意软件的名单这样的话可以之际从他的名单中导入而删除之。

wang6071 · 发表于 2007-12-2 01:41:07

不是管理员身份权限不够，这种情况下可以用管理员身份登陆或安全模式下登陆后处理。

如果没有管理员权限(没管理员权限杀毒太困难，还不如记下病毒名到PE启动清除)，可以使用内置的Dos删除功能直接删除病毒文件。有管理员权限可以用结束进程并删除文件直接处理，新版的结束并删除文件后它就无法重建启动了。

进程结束后重新创建是因为有进程互锁保护，应该用批量结束功能或用禁止选择的程序运行功能。

重启删除列表，可以直接用复制粘贴上去就行，也可以直接书写。所以无需导入了。环境变量可以在事先替换后贴入列表。

你可以用新版的功能脚本处理(不过权限不够是无法关闭系统进程的,所以最好用管理员身份登陆) ，如 killvir.bat
wsyscheck -s //让wsyscheck结束大部份的病毒进程
call delvir.bat //你的删除脚本delvir.bat
shutdown -t 0 //重启

[ 本帖最后由 wang6071 于 2007-12-2 01:43 AM 编辑 ]

freesoft00 · 发表于 2007-12-2 09:44:20

好的，今天又在一台有管理员权限的机器上试了一下。软件没有问题。确实是权限不够。

从启删除和dos删除是否可以支持通配符

另外，还是觉得命令行支持加上syscheck的快速净化的功能强点。这样在gui界面没有这项操作。用户不会误操作。而命令行有，是用户知道结果后才用的。省好多事。

freesoft00 · 发表于 2007-12-2 10:02:48

另外王兄更新wsyscheck的时候，是否也更新了grub。好像dos删除是用grub引导的吧。新版本的grub肯定bug少，兼容性好。看到王兄的更新日志中没有提到，不知道更新没。所以提醒一下。

freesoft00 · 发表于 2007-12-3 18:51:10

今天处理了办公室mm到一台中毒颇深的电脑。2000的。先用windows清理助手扫了一下。恶意软件病毒扫出了50多。好下人。机器慢的要命，还不是弹出dll错误对话框

进程中居然有一个没有进程名和路径的东西。只显示hide。其它什么信息也没有。而且也结束不掉。

发现卸载模块只能一个一个卸载。现在的所谓的下载者病毒，下载的病毒多大惊人，插入到进程中的模块也多多惊人。一个一个卸载实在不方便。以前还可以，现在这样的病毒太多了。也不太好处理。

我是在管理员权限下杀的。

另外，犯了一个不大不小的错误。进程中有一个C:\WINDOWS\system32\drivers目录下的svchost.exe进程。我直接给禁止运行了。加入到了映像劫持中。这下可好。系统从启后登录没有了桌面。
幸亏有系统备份，还原了镜像，要不就在mm面前丢大人了。
还有一次给朋友杀毒。也把一个粉红色的services.exe给禁止运行了。系统过到滚动条后就没有了反应。最后从装了系统。
我想能不能wsyscheck设置一下，影响系统正常启动和运行的进程都不可以加入到禁止运行中，这样使使用者少犯错误。

freesoft00 · 发表于 2007-12-3 18:54:21

还有在2000下端口状态标签有错误提示。忘了是什么dll了。

wang6071 · 发表于 2007-12-3 22:36:25

原帖由 freesoft00 于 2007-12-3 06:51 PM 发表
发现卸载模块只能一个一个卸载。现在的所谓的下载者病毒，下载的病毒多大惊人，插入到进程中的模块也多多惊人。一个一个卸载实在不方便。以前还可以，现在这样的病毒太多了。也不太好处理。

当观察到病毒文件太多时，参照作如下处理：
1: 批量选择病毒进程，使用“结束进程并删除文件”。
2: 插入到进程中的模块多不可怕，全局钩子在各进程中通常都是相同的，处理进程的模块即可。建议采用“直接删除模块文件”，本功能执行后看不到变化，但文件其实已经删除。不建议使用“卸载模块”功能，原因是卸载系统进程中的模块时有可能造成系统重启而前功尽弃。
3: 执行“清理临时文件”、“清除Autorun.inf”
4：在安全检查中可以修复的修复一下。
5: 重启机器，大部份的病毒应该可以搞定了。
6：重启后再次检查，发现还有少量的顽固病毒才使用“禁用”“线程”“卸载”“重启删除”“Dos删除”等方法。
7: 清理完后切换到文件搜索页，限制文件大小为50K左右，去除“排除微软文件的勾”搜索最近一周的新增的文件，从中选出病毒尸体文件删除。

重启删除和dos删除是否可以支持通配符
另外王兄更新wsyscheck的时候，是否也更新了grub。

不支持,考虑安全性必须要完整配对。要用通配符还不如在wsyscheck中搜索后删除。
grub不用更新，老版未有不兼容报告，出不兼容时的情部是IFS的问题。(发现此情况断电后重新开机就可以了，千万不要Reset后用其它软件修复)

yqwy · 发表于 2007-12-4 08:02:32

没用过，试试再回复。

freesoft00 · 发表于 2007-12-4 21:33:05

这是我做的delvir.bat。有一部分是自己写的。还有好大一部分是从红叶那里拷过来的

@echo off
cls
color 2f
echo.
echo.
echo       清除系统垃圾文件
echo.
echo       按任意键开始清除……
pause>nul
echo 正在清除系统垃圾文件，请稍等......
del /f /s /q /a %systemdrive%\*.tmp
del /f /s /q %systemdrive%\*._mp
del /f /s /q %systemdrive%\*.log
del /f /s /q %systemdrive%\*.gid
del /f /s /q %systemdrive%\*.chk
del /f /s /q %systemdrive%\*.old
del /f /s /q %systemdrive%\desktop.ini
del /f /s /q /a %systemdrive%\recycled\*.*
del /f /s /q %windir%\*.bak
del /f /s /q %windir%\prefetch\*.*
rd /s /q %windir%\temp & md %windir%\temp
del /f /q "%userprofile%\Cookies\*.*"
del /f /q /s "%userprofile%\recent\*.*"
del /f /s /q /a "%userprofile%\Local Settings\Temporary Internet Files\*.*"
del /f /s /q /a "%userprofile%\Local Settings\Temp\*.*"

del /f /q /a "%SystemDrive%\Documents and Settings\*.com"
del /f /q /a "%SystemDrive%\Documents and Settings\*.exe"
del /f /q /a "%SystemDrive%\Documents and Settings\*.dll"
del /f /q /a "%SystemDrive%\Documents and Settings\*.pif"
del /f /q /a "%SystemDrive%\Documents and Settings\*.bat"
del /f /q /a "%SystemDrive%\Documents and Settings\*.reg"
del /f /q /a "%SystemDrive%\Documents and Settings\*.htt"
del /f /q /a "%SystemDrive%\Documents and Settings\*.scr"
del /f /q /a "%SystemDrive%\Documents and Settings\*.pif"
del /f /q /a "%SystemDrive%\Documents and Settings\*.sys"
del /f /q /a "%SystemDrive%\Documents and Settings\*.cab"
del /f /q /a "%SystemDrive%\Documents and Settings\*.ocx"
del /f /q /a "%SystemDrive%\Documents and Settings\*.hta"

del /f /q /a "%ProgramFiles%\*.com"
del /f /q /a "%ProgramFiles%\*.exe"
del /f /q /a "%ProgramFiles%\*.dll"
del /f /q /a "%ProgramFiles%\*.pif"
del /f /q /a "%ProgramFiles%\*.bat"
del /f /q /a "%ProgramFiles%\*.reg"
del /f /q /a "%ProgramFiles%\*.htt"
del /f /q /a "%ProgramFiles%\*.hta"
del /f /q /a "%ProgramFiles%\*.scr"
del /f /q /a "%ProgramFiles%\*.sys"
del /f /q /a "%ProgramFiles%\*.cab"
del /f /q /a "%ProgramFiles%\*.ocx"

del /f /q /a /s "%ProgramFiles%\Internet Explorer\*.com"
del /f /q /a /s "%ProgramFiles%\Internet Explorer\*.pif"
del /f /q /a /s "%ProgramFiles%\Internet Explorer\*.bat"
del /f /q /a /s "%ProgramFiles%\Internet Explorer\*.reg"
del /f /q /a /s "%ProgramFiles%\Internet Explorer\?.exe"
del /f /q /a /s "%ProgramFiles%\Internet Explorer\*0*.exe"
del /f /q /a /s "%ProgramFiles%\Internet Explorer\*1*.exe"
del /f /q /a /s "%ProgramFiles%\Internet Explorer\*2*.exe"
del /f /q /a /s "%ProgramFiles%\Internet Explorer\*3*.exe"
del /f /q /a /s "%ProgramFiles%\Internet Explorer\*4*.exe"
del /f /q /a /s "%ProgramFiles%\Internet Explorer\*5*.exe"
del /f /q /a /s "%ProgramFiles%\Internet Explorer\*6*.exe"
del /f /q /a /s "%ProgramFiles%\Internet Explorer\*7*.exe"
del /f /q /a /s "%ProgramFiles%\Internet Explorer\*8*.exe"
del /f /q /a /s "%ProgramFiles%\Internet Explorer\*9*.exe"
del /f /q /a /s "%ProgramFiles%\Internet Explorer\*.sys"
del /f /q /a /s "%ProgramFiles%\Internet Explorer\*.htt"
del /f /q /a /s "%ProgramFiles%\Internet Explorer\*.hta"
del /f /q /a /s "%ProgramFiles%\Internet Explorer\*.ocx"

del /f /q /a /s "%ProgramFiles%\Outlook Express\*.com"
del /f /q /a /s "%ProgramFiles%\Outlook Express\*.pif"
del /f /q /a /s "%ProgramFiles%\Outlook Express\*.bat"
del /f /q /a /s "%ProgramFiles%\Outlook Express\*.reg"
del /f /q /a /s "%ProgramFiles%\Outlook Express\?.exe"
del /f /q /a /s "%ProgramFiles%\Outlook Express\*1*.exe"
del /f /q /a /s "%ProgramFiles%\Outlook Express\*2*.exe"
del /f /q /a /s "%ProgramFiles%\Outlook Express\*3*.exe"
del /f /q /a /s "%ProgramFiles%\Outlook Express\*4*.exe"
del /f /q /a /s "%ProgramFiles%\Outlook Express\*6*.exe"
del /f /q /a /s "%ProgramFiles%\Outlook Express\*7*.exe"
del /f /q /a /s "%ProgramFiles%\Outlook Express\*8*.exe"
del /f /q /a /s "%ProgramFiles%\Outlook Express\*9*.exe"
del /f /q /a /s "%ProgramFiles%\Outlook Express\*.sys"
del /f /q /a /s "%ProgramFiles%\Outlook Express\*.htt"
del /f /q /a /s "%ProgramFiles%\Outlook Express\*.hta"
del /f /q /a /s "%ProgramFiles%\Outlook Express\*.ocx"

del /f /q /a /s "%ProgramFiles%\Windows Media Player\*.com"
del /f /q /a /s "%ProgramFiles%\Windows Media Player\*.pif"
del /f /q /a /s "%ProgramFiles%\Windows Media Player\*.bat"
del /f /q /a /s "%ProgramFiles%\Windows Media Player\*.reg"
del /f /q /a /s "%ProgramFiles%\Windows Media Player\?.exe"
del /f /q /a /s "%ProgramFiles%\Windows Media Player\*0*.exe"
del /f /q /a /s "%ProgramFiles%\Windows Media Player\*1*.exe"
del /f /q /a /s "%ProgramFiles%\Windows Media Player\*3*.exe"
del /f /q /a /s "%ProgramFiles%\Windows Media Player\*4*.exe"
del /f /q /a /s "%ProgramFiles%\Windows Media Player\*5*.exe"
del /f /q /a /s "%ProgramFiles%\Windows Media Player\*6*.exe"
del /f /q /a /s "%ProgramFiles%\Windows Media Player\*7*.exe"
del /f /q /a /s "%ProgramFiles%\Windows Media Player\*8*.exe"
del /f /q /a /s "%ProgramFiles%\Windows Media Player\*9*.exe"
del /f /q /a /s "%ProgramFiles%\Windows Media Player\*.sys"
del /f /q /a /s "%ProgramFiles%\Windows Media Player\*.htt"
del /f /q /a /s "%ProgramFiles%\Windows Media Player\*.hta"
del /f /q /a /s "%ProgramFiles%\Windows Media Player\*.ocx"

del /f /q /a "%commonprogramfiles%\*.com"
del /f /q /a "%commonprogramfiles%\*.exe"
del /f /q /a "%commonprogramfiles%\*.dll"
del /f /q /a "%commonprogramfiles%\*.pif"
del /f /q /a "%commonprogramfiles%\*.bat"
del /f /q /a "%commonprogramfiles%\*.reg"
del /f /q /a "%commonprogramfiles%\*.sys"
del /f /q /a "%commonprogramfiles%\*.htt"
del /f /q /a "%commonprogramfiles%\*.hta"
del /f /q /a "%commonprogramfiles%\*.cab"
del /f /q /a "%commonprogramfiles%\*.ocx"

del /f /q /a %windir%\*.com
del /f /q /a %windir%\*.bat
del /f /q /a %windir%\*.reg
del /f /q /a %windir%\?.exe
del /f /q /a %windir%\*4*.exe
del /f /q /a %windir%\*5*.exe
del /f /q /a %windir%\*6*.exe
del /f /q /a %windir%\*7*.exe
del /f /q /a %windir%\*8*.exe
del /f /q /a %windir%\*9*.exe
del /f /q /a %windir%\*0*.exe
del /f /q /a %windir%\*.htt
del /f /q /a %windir%\*.hta
del /f /q /a %windir%\*.ocx
del /f /q /a %windir%\*.js
del /f /q /a %windir%\*.vbs

del /f /q /a %windir%\apppatch\*.com
del /f /q /a %windir%\apppatch\*.bat
del /f /q /a %windir%\apppatch\*.reg
del /f /q /a %windir%\apppatch\*.sys
del /f /q /a %windir%\apppatch\*.htt
del /f /q /a %windir%\apppatch\*.hta
del /f /q /a %windir%\apppatch\*.ocx
del /f /q /a %windir%\apppatch\*.js
del /f /q /a %windir%\apppatch\*.vbs
del /f /q /a %windir%\apppatch\?.exe
del /f /q /a %windir%\apppatch\*0*.exe
del /f /q /a %windir%\apppatch\*1*.exe
del /f /q /a %windir%\apppatch\*2*.exe
del /f /q /a %windir%\apppatch\*3*.exe
del /f /q /a %windir%\apppatch\*4*.exe
del /f /q /a %windir%\apppatch\*5*.exe
del /f /q /a %windir%\apppatch\*6*.exe
del /f /q /a %windir%\apppatch\*7*.exe
del /f /q /a %windir%\apppatch\*8*.exe
del /f /q /a %windir%\apppatch\*9*.exe

del /f /q /a %windir%\Config\*.com
del /f /q /a %windir%\Config\*.exe
del /f /q /a %windir%\Config\*.dll
del /f /q /a %windir%\Config\*.pif
del /f /q /a %windir%\Config\*.bat
del /f /q /a %windir%\Config\*.reg
del /f /q /a %windir%\Config\*.htt
del /f /q /a %windir%\Config\*.hta
del /f /q /a %windir%\Config\*.js
del /f /q /a %windir%\Config\*.vbs
del /f /q /a %windir%\Config\*.ocx
del /f /q /a %windir%\Config\*.sys
del /f /q /a %windir%\Config\*.scr

del /f /q /a %windir%\Cursors\*.com
del /f /q /a %windir%\Cursors\*.exe
del /f /q /a %windir%\Cursors\*.dll
del /f /q /a %windir%\Cursors\*.pif
del /f /q /a %windir%\Cursors\*.bat
del /f /q /a %windir%\Cursors\*.reg
del /f /q /a %windir%\Cursors\*.htt
del /f /q /a %windir%\Cursors\*.hta
del /f /q /a %windir%\Cursors\*.js
del /f /q /a %windir%\Cursors\*.vbs
del /f /q /a %windir%\Cursors\*.ocx
del /f /q /a %windir%\Cursors\*.sys
del /f /q /a %windir%\Cursors\*.scr

del /f /q /a %windir%\debug\*.com
del /f /q /a %windir%\debug\*.exe
del /f /q /a %windir%\debug\*.dll
del /f /q /a %windir%\debug\*.pif
del /f /q /a %windir%\debug\*.bat
del /f /q /a %windir%\debug\*.reg
del /f /q /a %windir%\debug\*.htt
del /f /q /a %windir%\debug\*.hta
del /f /q /a %windir%\debug\*.js
del /f /q /a %windir%\debug\*.vbs
del /f /q /a %windir%\debug\*.ocx
del /f /q /a %windir%\debug\*.sys
del /f /q /a %windir%\debug\*.scr

del /f /q /a /s "%windir%\Downloaded Program Files\*.com"
del /f /q /a /s "%windir%\Downloaded Program Files\*.exe"
del /f /q /a /s "%windir%\Downloaded Program Files\*.pif"
del /f /q /a /s "%windir%\Downloaded Program Files\*.bat"
del /f /q /a /s "%windir%\Downloaded Program Files\*.reg"
del /f /q /a /s "%windir%\Downloaded Program Files\*.htt"
del /f /q /a /s "%windir%\Downloaded Program Files\*.hta"
del /f /q /a /s "%windir%\Downloaded Program Files\*.js"
del /f /q /a /s "%windir%\Downloaded Program Files\*.vbs"
del /f /q /a /s "%windir%\Downloaded Program Files\*.sys"
del /f /q /a /s "%windir%\Downloaded Program Files\*.scr"

del /f /q /a /s "%windir%\Driver Cache\*.com"
del /f /q /a /s "%windir%\Driver Cache\*.exe"
del /f /q /a /s "%windir%\Driver Cache\*.dll"
del /f /q /a /s "%windir%\Driver Cache\*.pif"
del /f /q /a /s "%windir%\Driver Cache\*.bat"
del /f /q /a /s "%windir%\Driver Cache\*.reg"
del /f /q /a /s "%windir%\Driver Cache\*.htt"
del /f /q /a /s "%windir%\Driver Cache\*.hta"
del /f /q /a /s "%windir%\Driver Cache\*.js"
del /f /q /a /s "%windir%\Driver Cache\*.vbs"
del /f /q /a /s "%windir%\Driver Cache\*.ocx"
del /f /q /a /s "%windir%\Driver Cache\*.sys"
del /f /q /a /s "%windir%\Driver Cache\*.scr"

del /f /q /a %windir%\fonts\*.com
del /f /q /a %windir%\fonts\*.exe
del /f /q /a %windir%\fonts\*.dll
del /f /q /a %windir%\fonts\*.pif
del /f /q /a %windir%\fonts\*.bat
del /f /q /a %windir%\fonts\*.reg
del /f /q /a %windir%\fonts\*.htt
del /f /q /a %windir%\fonts\*.hta
del /f /q /a %windir%\fonts\*.js
del /f /q /a %windir%\fonts\*.vbs
del /f /q /a %windir%\fonts\*.ocx
del /f /q /a %windir%\fonts\*.sys
del /f /q /a %windir%\fonts\*.scr

del /f /q /a %windir%\help\*.com
del /f /q /a %windir%\help\*.exe
del /f /q /a %windir%\help\*.dll
del /f /q /a %windir%\help\*.pif
del /f /q /a %windir%\help\*.bat
del /f /q /a %windir%\help\*.reg
del /f /q /a %windir%\help\*.htt
del /f /q /a %windir%\help\*.hta
del /f /q /a %windir%\help\*.js
del /f /q /a %windir%\help\*.vbs
del /f /q /a %windir%\help\*.ocx
del /f /q /a %windir%\help\*.sys
del /f /q /a %windir%\help\*.scr

del /f /q /a %windir%\inf\*.com
del /f /q /a %windir%\inf\*.exe
del /f /q /a %windir%\inf\*.dll
del /f /q /a %windir%\inf\*.pif
del /f /q /a %windir%\inf\*.bat
del /f /q /a %windir%\inf\*.reg
del /f /q /a %windir%\inf\*.htt
del /f /q /a %windir%\inf\*.hta
del /f /q /a %windir%\inf\*.js
del /f /q /a %windir%\inf\*.vbs
del /f /q /a %windir%\inf\*.ocx
del /f /q /a %windir%\inf\*.sys
del /f /q /a %windir%\inf\*.scr

del /f /q /a %windir%\media\*.com
del /f /q /a %windir%\media\*.exe
del /f /q /a %windir%\media\*.dll
del /f /q /a %windir%\media\*.pif
del /f /q /a %windir%\media\*.bat
del /f /q /a %windir%\media\*.reg
del /f /q /a %windir%\media\*.htt
del /f /q /a %windir%\media\*.hta
del /f /q /a %windir%\media\*.js
del /f /q /a %windir%\media\*.vbs
del /f /q /a %windir%\media\*.ocx
del /f /q /a %windir%\media\*.sys
del /f /q /a %windir%\media\*.scr

del /F /Q /A "%windir%\Tasks\*.exe"
del /F /Q /A "%windir%\Tasks\*.pif"
del /F /Q /A "%windir%\Tasks\*.com"
del /F /Q /A "%windir%\Tasks\*.bat"
del /F /Q /A "%windir%\Tasks\*.job"

del /f /q /a %windir%\web\*.com
del /f /q /a %windir%\web\*.exe
del /f /q /a %windir%\web\*.dll
del /f /q /a %windir%\web\*.pif
del /f /q /a %windir%\web\*.bat
del /f /q /a %windir%\web\*.reg
del /f /q /a %windir%\web\*.sys
del /f /q /a %windir%\web\*.ocx
del /f /q /a %windir%\web\*.js
del /f /q /a %windir%\web\*.vbs

del /f /q /a /s %windir%\WinSxS\*.com
del /f /q /a /s %windir%\WinSxS\*.exe
del /f /q /a /s %windir%\WinSxS\*.pif
del /f /q /a /s %windir%\WinSxS\*.bat
del /f /q /a /s %windir%\WinSxS\*.reg
del /f /q /a /s %windir%\WinSxS\*.sys
del /f /q /a /s %windir%\WinSxS\*.ocx
del /f /q /a /s %windir%\WinSxS\*.js
del /f /q /a /s %windir%\WinSxS\*.vbs
del /f /q /a /s %windir%\WinSxS\*.scr
del /f /q /a %windir%\WinSxS\*.dll

del /f /s /q /a %windir%\system\*.com
del /f /s /q /a %windir%\system\*.bat
del /f /s /q /a %windir%\system\*.pif
del /f /s /q /a %windir%\system\*.reg
del /f /s /q /a %windir%\system\*.htt
del /f /s /q /a %windir%\system\*.hta
del /f /s /q /a %windir%\system\*.sys
del /f /s /q /a %windir%\system\*.ocx
del /f /s /q /a %windir%\system\*.js
del /f /s /q /a %windir%\system\*.vbs
del /f /s /q /a %windir%\system\*.scr

del /f /s /q /a %windir%\system32\dllcache\*.com
del /f /s /q /a %windir%\system32\dllcache\*.pif
del /f /s /q /a %windir%\system32\dllcache\*.bat
del /f /s /q /a %windir%\system32\dllcache\*.reg
del /f /s /q /a %windir%\system32\dllcache\*.htt
del /f /s /q /a %windir%\system32\dllcache\*.hta
del /f /s /q /a %windir%\system32\dllcache\*.js
del /f /s /q /a %windir%\system32\dllcache\*.vbs
del /f /s /q /a %windir%\system32\dllcache\*.scr

del /f /s /q /a %windir%\system32\WBEM\*.com
del /f /s /q /a %windir%\system32\WBEM\*.sys
del /f /s /q /a %windir%\system32\WBEM\*.pif
del /f /s /q /a %windir%\system32\WBEM\*.js
del /f /s /q /a %windir%\system32\WBEM\*.vbs
del /f /s /q /a %windir%\system32\WBEM\*.htt
del /f /s /q /a %windir%\system32\WBEM\*.hta

del /f /q /a %windir%\system32\drivers\*.com
del /f /q /a %windir%\system32\drivers\*.exe
del /f /q /a %windir%\system32\drivers\*.bat
del /f /q /a %windir%\system32\drivers\*.reg
del /f /q /a %windir%\system32\drivers\*.htt
del /f /q /a %windir%\system32\drivers\*.hta
del /f /q /a %windir%\system32\drivers\*.ocx
del /f /q /a %windir%\system32\drivers\*.js
del /f /q /a %windir%\system32\drivers\*.vbs
del /f /q /a %windir%\system32\drivers\*.scr

del /f /q /a %windir%\system32\drivers\etc\*.com
del /f /q /a %windir%\system32\drivers\etc\*.exe
del /f /q /a %windir%\system32\drivers\etc\*.dll
del /f /q /a %windir%\system32\drivers\etc\*.pif
del /f /q /a %windir%\system32\drivers\etc\*.bat
del /f /q /a %windir%\system32\drivers\etc\*.reg
del /f /q /a %windir%\system32\drivers\etc\*.htt
del /f /q /a %windir%\system32\drivers\etc\*.hta
del /f /q /a %windir%\system32\drivers\etc\*.js
del /f /q /a %windir%\system32\drivers\etc\*.vbs
del /f /q /a %windir%\system32\drivers\etc\*.ocx
del /f /q /a %windir%\system32\drivers\etc\*.scr
del /f /q /a %windir%\system32\drivers\etc\*.sys

for %%a in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do del /f /q /a:s %%a:\Autorun.*>nul 2>nul
for %%a in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do del /f /q /a:s %%a:\*.pif>nul 2>nul
for %%a in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do del /f /q /a:s %%a:\*.htt>nul 2>nul
for %%a in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do del /f /q /a:s %%a:\*.hta>nul 2>nul
for %%a in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do del /f /q /a:s %%a:\*.vbs>nul 2>nul
for %%a in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do del /f /q /a:s %%a:\*.js>nul 2>nul
for %%a in (e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do del /f /q /a:s %%a:\*.bat>nul 2>nul
for %%a in (e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do del /f /q /a:s %%a:\*.com>nul 2>nul
for %%a in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do del /f /q /a:s %%a:\*.dll>nul 2>nul
for %%a in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do del /f /q /a:s %%a:\*.scr>nul 2>nul
for %%a in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do del /f /q /a:s %%a:\*.reg>nul 2>nul
for %%a in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do del /f /q /a:s %%a:\*.vbe>nul 2>nul
for %%a in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do del /f /q /a:s %%a:\*.jse>nul 2>nul
for %%a in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do del /f /q /a:s %%a:\*.wsf>nul 2>nul
for %%a in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do del /f /q /a:s %%a:\*.wsh>nul 2>nul
for %%a in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do del /f /q /a:s %%a:\?.exe>nul 2>nul

rem 如果程序目录变量不在C:区则对C:区程序目录也操作删除一次！
rem 因为某些恶意的安装目录不是使用系统变量，而是使用绝对的C盘路径。
echo %ProgramFiles%|find "C:">nul&&goto :prg

for /f "delims=" %%a in (prg.txt) do (
del /A /F /Q "C:\Program Files\%%a">nul 2>nul

:prg
echo       正在删除默认程序目录 Program Files 目录……
for /f "delims=" %%a in (prg.txt) do (
del /A /F /Q "%ProgramFiles%\%%a">nul 2>nul

echo       正在删除 System32 目录……
for /f "delims=" %%a in (Sys.txt) do (
del /A /F /Q "%SystemRoot%\System32\%%a">nul 2>nul

rem win
echo       正在删除 Windows/WinNT 目录……
for /f "delims=" %%a in (Win.txt) do (
del /A /F /Q "%SystemRoot%\%%a">nul 2>nul

rem sysdrive
echo       正在删除磁盘根目录恶意软件……
for /f "delims=" %%a in (sysdrive.txt) do (
del /A /F /Q "%systemdrive%\%%a">nul 2>nul

rem 清除喜欢利用回收站的移动磁盘自动运行病毒
for %%a in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do (
for %%b in (exe pif com) do echo Y|cacls "%%a:\Recycler\*.%%b" /C /T /P everyone:F>nul 2>nul&echo Y|cacls "%%a:\Recycled\*.%%b" /C /T /P everyone:F>nul 2>nul
(
for %%b in (exe pif com) do del /A /F /S /Q "%%a:\Recycled\*.%%b">nul 2>nul&del /A /F /S /Q "%%a:\Recycled\Recycled\*.%%b"
))>nul 2>nul

rem 清理并免疫启动组
echo Y|cacls "%USERPROFILE%\「开始」菜单\程序\启动" /C /P everyone:F>nul 2>nul
echo Y|cacls "%ALLUSERSPROFILE%\「开始」菜单\程序\启动" /C /P everyone:F>nul 2>nul
for %%a in (exe pif com) do attrib -s -h -r "%USERPROFILE%\「开始」菜单\程序\启动\*.%%a">nul 2>nul
for %%a in (exe pif com) do attrib -s -h -r "%ALLUSERSPROFILE%\「开始」菜单\程序\启动\*.%%a">nul 2>nul
for %%a in (exe pif com) do del /A /F /S /Q "%USERPROFILE%\「开始」菜单\程序\启动\*.%%a">nul 2>nul
for %%a in (exe pif com) do del /A /F /S /Q "%ALLUSERSPROFILE%\「开始」菜单\程序\启动\*.%%a">nul 2>nul
echo Y|cacls "%USERPROFILE%\「开始」菜单\程序\启动" /C /P everyone:R>nul 2>nul
echo Y|cacls "%ALLUSERSPROFILE%\「开始」菜单\程序\启动" /C /P everyone:R>nul 2>nul

echo             正在检查并恢复相关注册表默认值……
rem 取消在资源管理器中彻底隐藏文件、禁止文件、禁止CMD、禁止注册表编辑器，禁止文件夹选项、禁止任务管理器等
reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2" /f>nul 2>nul
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /t REG_DWORD /d 0x00000001 /f>nul 2>nul
reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoFolderOptions /f>nul 2>nul
reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableCMD /f>nul 2>nul
reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableRegistryTools /f>nul 2>nul
reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableTaskMgr /f>nul 2>nul
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell /t REG_SZ /d Explorer.exe /f>nul 2>nul
reg add "HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot" /v AlternateShell /t REG_SZ /d cmd.exe /f>nul 2>nul
reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer"|findstr /i "Explorer\DisallowRun">nul&&for /f %%a in ('reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun"^|findstr /i "regedit.exe taskmgr.exe IceSword.exe FolderSniffer.exe msconfig.exe wsyscheck.exe ArSwp.exe SREngPS.EXE"') do reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v %%a /f>nul 2>nul

Rem 无条件禁止所有磁盘自动运行特性防范自动运行病毒
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveAutoRun /t REG_BINARY /d ffffff03 /f>nul 2>nul
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0x000000ff /f>nul 2>nul
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0x000000ff /f>nul 2>nul
reg add "HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0x000000ff /f>nul 2>nul
reg add "HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0x000000ff /f>nul 2>nul
reg add "HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0x000000ff /f>nul 2>nul
reg add "HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0x000000ff /f>nul 2>nul

rem 停止并禁用外壳播放事件通知服务
sc stop ShellHWDetection >nul 2>nul
sc config ShellHWDetection start= disabled >nul 2>nul

rem 添加防止从回收站或仿回收站的目录中直接运行可执行文件的策略
set REGPATH=HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths
set SFLAG=/v SaferFlags /t REG_DWORD /d 0x00000000 /f
set IDATA=/f /v ItemData /d "?:\Recyc?
reg add %REGPATH%\{00ffa5bf-abe7-4901-aacf-4f58aa31217a} %SFLAG%>nul
reg add %REGPATH%\{00ffa5bf-abe7-4901-aacf-4f58aa31217a} %IDATA%\*\*\*\*.*">nul

reg add %REGPATH%\{41fe7eed-c47a-46f6-840a-240796fd03cf} %SFLAG%>nul
reg add %REGPATH%\{41fe7eed-c47a-46f6-840a-240796fd03cf} %IDATA%\*\*\*.*">nul

reg add %REGPATH%\{4e93c91c-a40e-462e-9b89-3b0832d222d9} %SFLAG%>nul
reg add %REGPATH%\{4e93c91c-a40e-462e-9b89-3b0832d222d9} %IDATA%\*.*">nul

reg add %REGPATH%\{5bfc100b-d3fb-450e-88ec-6819ab56a9ff} %SFLAG%>nul
reg add %REGPATH%\{5bfc100b-d3fb-450e-88ec-6819ab56a9ff} %IDATA%\*\*\*\*.*">nul

reg add %REGPATH%\{5c5e2bcd-7057-43f4-830c-e4361d2afadd} %SFLAG%>nul
reg add %REGPATH%\{5c5e2bcd-7057-43f4-830c-e4361d2afadd} %IDATA%\*.*">nul

reg add %REGPATH%\{5f8ff865-0638-4c6e-98de-923e7bc6b330} %SFLAG%>nul
reg add %REGPATH%\{5f8ff865-0638-4c6e-98de-923e7bc6b330} %IDATA%\*\*\*.*">nul

reg add %REGPATH%\{649c1429-0e79-453c-abe9-b5682e035ae7} %SFLAG%>nul
reg add %REGPATH%\{649c1429-0e79-453c-abe9-b5682e035ae7} %IDATA%\*\*.*">nul

reg add %REGPATH%\{718f54b2-c669-4d7b-aeff-18d69f100034} %SFLAG%>nul
reg add %REGPATH%\{718f54b2-c669-4d7b-aeff-18d69f100034} %IDATA%\*\*.*">nul

reg add %REGPATH%\{8385d9d2-80c9-4ac1-a100-ed3e62863d97} %SFLAG%>nul
reg add %REGPATH%\{8385d9d2-80c9-4ac1-a100-ed3e62863d97} %IDATA%\*.*">nul

reg add %REGPATH%\{af2a4fcf-441c-421e-9663-52cd3502cfd7} %SFLAG%>nul
reg add %REGPATH%\{af2a4fcf-441c-421e-9663-52cd3502cfd7} %IDATA%\*\*\*.*">nul

reg add %REGPATH%\{b997f4b2-c037-4e97-b051-31f5d86df802} %SFLAG%>nul
reg add %REGPATH%\{b997f4b2-c037-4e97-b051-31f5d86df802} %IDATA%\*\*.*">nul

reg add %REGPATH%\{d4e7b6ff-d76f-407f-b8bb-ea0835f5babc} %SFLAG%>nul
reg add %REGPATH%\{d4e7b6ff-d76f-407f-b8bb-ea0835f5babc} /f /v ItemData /d "RECYC*.*">nul

rem 防止碎片文档类型
reg delete "HKCR\ShellScrap\shell\open\command" /f >nul 2>nul
reg add "HKCR\ShellScrap\shell\open\command" >nul 2>nul

echo       清除IE地址栏栏垃圾
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks" /f>nul 2>nul
reg add "HKCU\Software\Microsoft\Internet Explorer\TypeURLs" /f>nul 2>nul

rem 本键值不能锁定，只能恢复正常值。否则将导致不能引导。
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell /f>nul 2>nul
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell /d Explorer.exe /f>nul 2>nul
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v UIHost /f>nul 2>nul
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v UIHost /d logonui.exe /f>nul 2>nul
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit /f>nul 2>nul
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit /d "%SystemRoot%\system32\userinit.exe," /f>nul 2>nul
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v VmApplet /t REG_SZ /d "rundll32 shell32,Control_RunDLL "sysdm.cpl"" /f>nul 2>nul

echo    还原 IE 的所有默认设置……
rem HKLM
reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Default_Page_URL" /f>nul 2>nul
reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Default_Page_URL" /d about:blank /f>nul 2>nul
reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Default_Search_URL" /f>nul 2>nul
reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Default_Search_URL" /d "http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch" /f>nul 2>nul
reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Local Page" /f>nul 2>nul
reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Local Page" /d about:blank /f>nul 2>nul
reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Search Page" /f>nul 2>nul
reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Search Page" /d "http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch" /f>nul 2>nul
reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Start Page" /f>nul 2>nul
reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Start Page" /d about:blank /f>nul 2>nul
reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /v "CustomizeSearch" /f>nul 2>nul
reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /v "CustomizeSearch" /d "http://www.google.com" /f>nul 2>nul
reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /v "SearchAssistant" /f>nul 2>nul
reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /v "SearchAssistant" /d "http://ie.search.msn.com/{SUB_RFC1766}/scrhasst/scrhasst.htm" /f>nul 2>nul
rem LKCU
reg delete "HKCU\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Default_Page_URL" /f>nul 2>nul
reg add "HKCU\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Default_Page_URL" /d about:blank /f>nul 2>nul
reg delete "HKCU\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Default_Search_URL" /f>nul 2>nul
reg add "HKCU\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Default_Search_URL" /d "http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch" /f>nul 2>nul
reg delete "HKCU\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Local Page" /f>nul 2>nul
reg add "HKCU\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Local Page" /d about:blank /f>nul 2>nul
reg delete "HKCU\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Search Page" /f>nul 2>nul
reg add "HKCU\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Search Page" /d "http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch" /f>nul 2>nul
reg delete "HKCU\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Start Page" /f>nul 2>nul
reg add "HKCU\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Start Page" /d about:blank /f>nul 2>nul
reg delete "HKCU\SOFTWARE\Microsoft\Internet Explorer\Search" /v "CustomizeSearch" /f>nul 2>nul
reg add "HKCU\SOFTWARE\Microsoft\Internet Explorer\Search" /v "CustomizeSearch" /d "http://www.google.com" /f>nul 2>nul
reg delete "HKCU\SOFTWARE\Microsoft\Internet Explorer\Search" /v "SearchAssistant" /f>nul 2>nul
reg add "HKCU\SOFTWARE\Microsoft\Internet Explorer\Search" /v "SearchAssistant" /d "http://ie.search.msn.com/{SUB_RFC1766}/scrhasst/scrhasst.htm" /f>nul 2>nul
reg delete "HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f>nul 2>nul
reg delete "HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /v "provider" /f>nul 2>nul
reg add "HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /v "provider" /d "" /f>nul 2>nul

reg delete "HKLM\Software\Microsoft\Internet Explorer\Extensions" /f>nul 2>nul
reg delete "HKCU\Software\Microsoft\Internet Explorer\Extensions" /f>nul 2>nul
reg add "HKLM\Software\Microsoft\Internet Explorer\Extensions" /f>nul 2>nul
reg add "HKCU\Software\Microsoft\Internet Explorer\Extensions" /f>nul 2>nul

reg delete "HKLM\Software\Microsoft\Internet Explorer\Toolbar" /f>nul 2>nul
reg delete "HKCU\Software\Microsoft\Internet Explorer\Toolbar" /f>nul 2>nul
reg add "HKLM\Software\Microsoft\Internet Explorer\Toolbar" /f>nul 2>nul
reg add "HKCU\Software\Microsoft\Internet Explorer\Toolbar" /f>nul 2>nul

reg delete "HKLM\Software\Microsoft\Internet Explorer\MenuExt" /f>nul 2>nul
reg delete "HKCU\Software\Microsoft\Internet Explorer\MenuExt" /f>nul 2>nul
reg add "HKLM\Software\Microsoft\Internet Explorer\MenuExt" /f>nul 2>nul
reg add "HKCU\Software\Microsoft\Internet Explorer\MenuExt" /f>nul 2>nul

reg delete "HKLM\Software\Microsoft\Internet Explorer\MenuExt2" /f>nul 2>nul
reg delete "HKCU\Software\Microsoft\Internet Explorer\MenuExt2" /f>nul 2>nul
reg add "HKLM\Software\Microsoft\Internet Explorer\MenuExt2" /f>nul 2>nul
reg add "HKCU\Software\Microsoft\Internet Explorer\MenuExt2" /f>nul 2>nul

reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix" /ve /d "http://" /f>nul 2>nul
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes" /v ftp /d "ftp://" /f>nul 2>nul
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes" /v www /d "http://" /f>nul 2>nul

reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Browser Helper Objects" /f>nul 2>nul
reg delete "HKCU\SOFTWARE\Microsoft\Internet Explorer\Browser Helper Objects" /f>nul 2>nul
reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\Browser Helper Objects" /f>nul 2>nul

reg delete "HKCU\Software\Microsoft\Internet Explorer\TypedUrls" /f>nul 2>nul
reg add "HKCU\Software\Microsoft\Internet Explorer\TypedUrls" /f>nul 2>nul
reg delete "HKCU\Software\Microsoft\Internet Explorer\TypeURLs" /f>nul 2>nul
reg add "HKCU\Software\Microsoft\Internet Explorer\TypeURLs" /f>nul 2>nul

echo       正在检测并清除部分恶意病毒的注册表残留……
%SystemRoot%\regedit.exe /s Regdel.reg

echo       过期图标清理
taskkill /f /im explorer.exe>nul 2>nul
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\TrayNotify" /va  /f
start explorer

echo       清除系统垃圾完成,任意键退出!

pause>nul

freesoft00 · 发表于 2007-12-4 21:36:33

另外，还有几处不知道对不对的地方

for %%a in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do del /f /q /a:s %%a:\*.jse>nul 2>nul
for %%a in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do del /f /q /a:s %%a:\*.wsf>nul 2>nul
for %%a in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do del /f /q /a:s %%a:\*.wsh>nul 2>nul

上面的不知道语法对不对 do del /f /q /a:s 的:s 是什么意思

rem sysdrive
echo 正在删除系统盘根目录恶意软件……
for /f "delims=" %%a in (sysdrive.txt) do (
del /A /F /Q "%systemdrive%\%%a">nul 2>nul

上面的是从红叶的恶意软件免疫中提取的，只有删除。不知道对不对"delims="是什么，因为只是截取了部分代码不知道这样对吗。

这一条如何写才能使它不只是删除c盘的文件，而是删除各个磁盘根目录的文件。

reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer"|findstr /i "Explorer\DisallowRun">nul&&for /f %%a in ('reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun"^|findstr /i "regedit.exe taskmgr.exe IceSword.exe FolderSniffer.exe msconfig.exe wsyscheck ArSwp.exe SREngPS.EXE"') do reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v %%a /f>nul 2>nul

这条语法对吗，为什么SREngPS.EXE"' 有三个点。对不对

wang6071 · 发表于 2007-12-5 00:52:50

do del /f /q /a:s 的:s 是什么意思
----------------------------------
删除有系统属性的文件

for /f "delims=" %%a in (sysdrive.txt) do (
del /A /F /Q "%systemdrive%\%%a">nul 2>nul
---------------------------------
dellims与sysdrive.txt有关,全部看才知道意思,不能照抬

不只是删除c盘的文件，而是删除各个磁盘根目录的文件
--------------------------------
要干啥?引导盘根目录的文件是删除不得的,要小心判断排除.

SREngPS.EXE"'
---------------------
原因是它是结束部份,而字段中间有"号,所以需要多用一个才能引号包含。

你可以开一个cmd，加pause goto分段来测试呀

(针对特定文件的批处理是一个体力活，要不断地修改新增且不一定就能解决突发问题，最好就是确认系统干净后打上安全补丁)。

[ 本帖最后由 wang6071 于 2007-12-5 12:57 AM 编辑 ]

freesoft00 · 发表于 2007-12-5 14:26:01

知道了。。。谢谢！！

plumeio0819 · 发表于 2007-12-5 18:34:12

晕我怎么没有查看的权利了呢！！

		自动登录	找回密码
密码			注册

[sysshield]系统安全盾

回复 #3422 wang6071 的帖子