求一段批处理代码，查找指定注册表下的子项的值，如果指定的值为abc，则删除该项

junyee

1. REM 方法1
   
2. reg query "HKLM\SOFTWARE\dfsfsf"|findstr /C:" Persistence "|findstr /C:"C:\Windows\system32\igfxpers.exe" &&reg delete "HKLM\SOFTWARE\dfsfsf" /v "Persistence"
   
3. 
   
4. REM 方法2,注意中括号内是 空格加TAB
   
5. reg query "HKLM\SOFTWARE\dfsfsf"|findstr /R "^[         ]*Persistence.*[         ]*C:\\Windows\\system32\\igfxpers.exe" &&reg delete "HKLM\SOFTWARE\dfsfsf" /v "Persistence"

复制代码

junyee

红毛樱木 发表于 2020-11-7 13:11
不是直接删Persistence，是找到值为"C:\Windows\system32\igfxpers.exe"的项，删掉该Persistence项。如果 ...

1. @echo off
   
2. 
   
3. REM reg query HKLM\SOFTWARE\dfsfsf|findstr /C:"C:\Windows\system32\igfxpers.exe"
   
4. 
   
5. REM 小心最好不要有空格
   
6. set MK=HKLM\SOFTWARE\dfsfsf
   
7. set kw=C:\Windows\system32\igfxpers.exe
   
8. 
   
9. reg query "%MK%"|for /f  %%i in ( 'findstr /C:"%kw%"' ) do @(
   
10.   echo [WARN]删除subkey:%%i
    
11.   start /wait reg delete "%MK%" /v "%%i" /f
    
12. )
    
13. 
    
14. pause

复制代码

junyee

红毛樱木 发表于 2020-11-7 13:52
"%SystemDrive%\Windows\System32\mshta.exe" vbscript:createobject("wscript.shell").run("""%SystemDr ...

你导出个 reg 我试试啊。

不过批处理处理一些特殊字符就麻烦些。

junyee

红毛樱木 发表于 2020-11-7 14:14
出来吃饭了，等下

注意　％号　要用　％％　转义。

1. @echo off
   
2. 
   
3. REM http://bbs.wuyou.net/forum.php?mod=viewthread&tid=422795&page=1&extra=#pid4171194
   
4. 
   
5. REM 小心最好不要有特殊字符
   
6. set mk=HKLM\SOFTWARE\dfsfsf
   
7. set kw="%%SystemDrive%%\Windows\System32\mshta.exe" vbscript:createobject("wscript.shell").run("""%%SystemDrive%%\Windows\run.bat"" h",0,true)(window.close)
   
8. 
   
9. echo.
   
10. 
    
11. REM setlocal enabledelayedexpansion
    
12. set kw=%kw:"="%
    
13. REM set kw=%kw:\=\"%
    
14. 
    
15. REM 不借助临时文件搞不定了，你这个字符串里同时有　% " ()  这些批处理忌讳字，尤其是小括号
    
16. reg query “％mk%"|findstr /c:"%kw%" >%TEMP%\find_key.tmp
    
17. 
    
18. for /f %%i in (%TEMP%\find_key.tmp) do (
    
19.   echo [WARN] 删除 %MK%\%%i
    
20.   reg delete "%MK%" /v "%%i" /f
    
21. )
    
22. pause&&goto :EOF

复制代码