[原创[2月11日更新]注册表限制威金、熊猫、金猪病毒的运行

飞鱼刀

为有您这样的版主骄傲，谢谢了！

sansa520

这贴得顶上。。。不过。。。
兄弟。。看你硬盘收藏了很多样本。。能否发几个给我。。

6618

原帖由 xiaoy 于 2007-2-9 09:26 PM 发表
我说的是DOS类的应用程序  不是DOS命令和批处理
比如Qbwin 编译生成的EXE文件 ，包括QBWIN也不能运行了

哦，这个我就没试了，但比较奇怪，我写的那个批处理并没有限制这个QBWIN的运行啊，能不能传一个QBWIN给我试试。

6618

原帖由 zytlinux 于 2007-2-9 10:55 PM 发表
能不能直接共享一下原批处理文件，可以让我们这些小菜学习一下啊

原帖由 namejm 于 2007-2-9 07:33 PM 发表
　　在 %tmp% 目录下查找隐藏属性的 bt+数字.bat 为名的文件就是了:)

kangyi

如果病毒直接删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Image File Execution Options这个键你照样没辙
不过托6618的福,我总算搞明白了为什么有的王八机器里不能运行installshield等界面的安装程序了,,,感谢!

qqj

下载试用，好像从来没有中过毒。

也许与我的上网习惯有关吧。

frankkf

支持！一种免疫好方法！收下。
如果有新的变种出现，可能还需要适当的更新

kang333

这样的好东西当然要支持了。多谢楼主。

l112340

支持！一种免疫好方法！收下。

wz402

非常感谢~~~

sakula00544

好东西应该顶！！！

hero123

谢谢，收下了。。。。原来只用建只读文件的方法。

zmx9171

这种方法好.......谢谢!

taoty

还没有来得及运行就让AVG给咔嚓了。

zhangzhang

马上给朋用以下。

6618

原帖由 kangyi 于 2007-2-10 07:01 AM 发表
如果病毒直接删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Image File Execution Options这个键你照样没辙
不过托6618的福,我总算搞明白了为什么有的王八机器里不能运行installshield ...

呵呵，目前还没有病毒直接删除这个键，因而现在还能用。另，就算删了，一运行这个批处理，又写回去了。

[ 本帖最后由 6618 于 2007-2-11 02:14 AM 编辑 ]

6618

原帖由 taoty 于 2007-2-10 08:31 PM 发表
还没有来得及运行就让AVG给咔嚓了。

如果可能你可以查看这个批处理，其只是一个批处理而已，不是病毒。我在第一帖中已帖了出来。

[ 本帖最后由 6618 于 2007-2-10 11:28 PM 编辑 ]

hjm6624669

6618出招，非同凡响。在下已用，谢谢！

6618

原帖由 gd510090 于 2007-2-11 12:18 AM 发表
不能安装vmware+5.5.3+中英双语精简版+11-23
解除就能安装

可能是限制了vmware的主程序的运行，第一帖中已帖出了限制的EXE程序，对照一下，去掉相关的EXE估计就行了。

[ 本帖最后由 6618 于 2007-2-11 02:14 AM 编辑 ]

6618

今晚参照做超级解霸的豪杰公司出的“PC熊猫烧香专杀“加入了大量的病毒主程序。

[ 本帖最后由 6618 于 2007-2-11 02:28 AM 编辑 ]

namejm

　　看了顶楼的代码，发现只是在注册表的固定位置添加不同的键值，并且 Debugger 的值都是CMD的搜索路径之一。既然是这样的话，换用 for 语句来读取配置文件里的病毒程序文件名的方式，可以使代码大为精简，预计10条左右就可以搞定。假如日后需要增减病毒文件名，只需编辑配置文件就可以了。

6618

原帖由 namejm 于 2007-2-11 02:38 AM 发表
　　　看了顶楼的代码，发现只是在注册表的固定位置添加不同的键值，并且 Debugger 的值都是CMD的搜索路径之一。既然是这样的话，换用 for 语句来读取配置文件里的病毒程序文件名的方式，可以使代码大为精简，预计10条左右就可以搞定。假如日后需要增减病毒文件名，只需编辑配置文件就可以了。

如果可能还请朋友你帖出这个批处理，一来方便大家，二来也供我学习学习，谢谢！

[ 本帖最后由 6618 于 2007-2-11 02:50 AM 编辑 ]

鹤冲天

偶也希望能看到！！谢谢！！

超无限

要是系统在D盘或其它盘符呢？这个还能用吗？？

好像都定义在C盘嘛。

kinghappysun

感谢楼主的好东东

kinghappysun

感谢楼主的好东东

namejm

　　那我就贴一段代码出来，核心代码就只有三条 for 语句，可以适应系统分区不在C盘的情况。请和附件中的 list.ini 配套使用( list.ini 的内容提取自顶楼的代码部分，顺便发现顶楼的代码有两点疑问：1、第43到第47行免疫sppoolsv.exe的操作似乎重复了;2、第354行的 @echo "Debugger"="C:\\windows\\Logo1_.exe" >>unfix.reg 似乎应该是 @echo.>>unfix.reg.)。

1. 
   
2. @echo off
   
3. mode con cols=84 lines=21
   
4. title 注册表限制威金、熊猫、金猪病毒运行
   
5. color 4f
   
6. cls
   
7. echo.
   
8. echo.
   
9. echo                     注册表限制威金、熊猫、金猪病毒的运行 for /XP
   
10. echo          -----------------------------------------------------------------
    
11. echo.
    
12. echo              此批处理可以限制2007年2月9日前的威金、熊猫、金猪病毒的运行。
    
13. echo          比如运行一个SETUP.EXE的熊猫病毒，该病毒会生成c:\WINDOWS\SYTEM32\
    
14. echo          FuckJacks.exe，由于我限制了FuckJacks.exe的运行，所以不管怎么双击
    
15. echo          运行SETUP.EXE，都不能成功运行病毒c:\WINDOWS\SYTEM32\FuckJacks.exe
    
16. echo          因而病毒也就起不了作用，等于废了。
    
17. echo.                              
    
18. echo                                                     6618   2007年2月10日
    
19. echo                                               Modified by JM 07年2月11日
    
20. echo.
    
21. echo          [F] 按 F 键进行注册表限制
    
22. echo          [U] 按 U 键解除注册表限制
    
23. echo          [Q] 按其他任意键退出
    
24. echo          -----------------------------------------------------------------
    
25. echo.
    
26. 
    
27. set route=HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
    
28. SET Choice=
    
29. SET /P Choice=         请选择要进行的操作：  
    
30. IF /I '%Choice:~0,1%'=='f' GOTO fix
    
31. IF /I '%Choice:~0,1%'=='u' GOTO unfix
    
32. exit
    
33. 
    
34. :fix
    
35. echo.
    
36. echo                           正在进行免疫操作，请稍侯...  
    
37. :: 下一句中的 "全盘禁止运行%%i" 可以替换成任意的字符，都能起到全盘禁止运行指定exe的效果
    
38. for /f %%i in (list.ini) do (
    
39.     reg add "%route%\%%i" /v Debugger /t REG_SZ /d 全盘禁止运行%%i /f >nul 2>nul
    
40. )
    
41. cls
    
42. echo.&echo.&echo.&echo.&echo.
    
43. echo                 已在注册表中限制威金、熊猫、金猪病毒的运行。
    
44. echo.   
    
45. echo                 如果已中了此类病毒，运行这个批处理后，请
    
46. echo.
    
47. echo                 重启电脑进行杀毒。
    
48. echo.               
    
49. echo                        感谢使用，按任意键退出...
    
50. pause>nul
    
51. exit
    
52. 
    
53. :unfix
    
54. echo.
    
55. echo                           正在解除限制，请稍侯...  
    
56. for /f %%i in (list.ini) do reg delete "%route%\%%i" /f >nul 2>nul
    
57. cls
    
58. echo.&echo.&echo.&echo.&echo.&echo.&echo.
    
59. echo                 已解除注册表中对熊猫、威金、金猪病毒的制限。
    
60. echo.   
    
61. echo                  感谢使用，按任意键退出...
    
62. pause>nul
    

复制代码

　　修改了一下代码，使得添加注册表限制的速度大为提升，约为原来的30%～50%，请下过的更新一下。
　　又对比了一下6618的原代码，发现少了个删除每个分区下 autorun.inf 文件的功能，现在添加了一条 for 语句搞定，从而使得核心代码变成了三条 for 语句。

[ 本帖最后由 namejm 于 2007-2-12 11:16 AM 编辑 ]

6618

原帖由 namejm 于 2007-2-11 10:32 AM 发表
　　那我就贴一段代码出来，核心代码就只有两条 for 语句，可以适应系统分区不在C盘的情况。请和附件中的 list.ini 配套使用( list.ini 的内容提取自顶楼的代码部分，顺便发现顶楼的代码有两点疑问：1、第43到第4 ...

试了，确实可行，THANK YOU！这样更新更为方便了，学习了，1楼的第一帖已更新，适用于系统装在任何分区，有需要的朋友请重新下载。

[ 本帖最后由 6618 于 2007-2-11 03:10 PM 编辑 ]

太湖渔民

在这里混,俺菜鸟都快变"专家"了~~~~~

kangyi

另外在这里问一下6618，如果有病毒首先判断根目录是否有auturun.inf文件夹（有则删之）然后再复制自己的auturun.inf文件怎么办（这个判断只执行一次）
貌似在U盘根目录建一个auturun.inf文件夹效果有限，而且这个文件夹占用4K的空间，对本来就十分狭小的U盘是个不小的浪费：）