標簽歸檔:Auto

auto病毒解決方案(加密狗nboqcey.exe,afdyvnr.exe,fhrqdpi.exe清理工具):病毒工具包

前幾天爸爸辦公室的小姑娘說辦公室里電腦打開瑞星就結束不了了

我去看了一下,哎呦,有個進程是nboqcey.exe,原理是令人位置汗顏的機器狗….

因為沒有上網,沒法升級瑞星。仔細分析了下進程,還有個afdyvnr.exe,兩個進程需要同時禁用才能結束。

考慮到中的機器應該不只一臺,寫了一個批處理包:

因為病毒進程一般都是守護進程,通過任務管理器很難同時殺死兩個進程,所以先寫個能同時殺死多進程的批處理:

@echo off
if s%1==s goto end
echo %1 's task Killing...
:init
taskkill /f /im %1.exe 2>nul
taskkill /f /im %2.exe 2>nul
taskkill /f /im %3.exe 2>nul
taskkill /f /im %4.exe 2>nul
taskkill /f /im %5.exe 2>nul
taskkill /f /im %6.exe 2>nul
taskkill /f /im %7.exe 2>nul
taskkill /f /im %8.exe 2>nul
taskkill /f /im %9.exe 2>nul
echo kill ok;Loading again;
goto init
:end

因為病毒都是文件一般都是系統+隱藏+只讀屬性,所以還要寫一個改屬性為正常屬性并且同時刪除文件的批處理:

@echo off
attrib -s -h -r %1
del %1

主要批處理就這些,可以點擊這里下載測試(http://www.okfdzs53.com/products/virustoolkit.rar)
里邊有個eg.txt,打開Loading.bat,將里邊的內容復制到命令提示符中就可以清除機器狗病毒,當然還可以擴展做到清除更過病毒。下面是eg.txt的內容:

::清除加密狗的方法
::打開:Loading.bat,復制一下內容到Loading.bat打開的窗口
k afdyvnr nboqcey
d c:\fhrqdpi.exe
d d:\fhrqdpi.exe
d e:\fhrqdpi.exe
d f:\fhrqdpi.exe
d j:\fhrqdpi.exe
d k:\fhrqdpi.exe
d l:\fhrqdpi.exe
d c:\autorun.inf
d d:\autorun.inf
d e:\autorun.inf
d f:\autorun.inf
d j:\autorun.inf
d k:\autorun.inf
d l:\autorun.inf
::dir /s /a c:\nboqcey.exe 可有找c:\下所有的nboqcey.exe
d "C:\Program Files\Common Files\System\nboqcey.exe"
d "C:\Program Files\Common Files\System\pydwhcw.inf"
d "c:\Program Files\Common Files\Microsoft Shared\afdyvnr.exe"
echo gaga,it's ok.

加密狗是利用注冊表啟動的,因為所有病毒已經被刪除,所以不用清理注冊表了。

病毒Toolkit By MiaoQiyuan.cn
==================================================================
k 1 2 .. 9 循環的方式結束進程1.exe 2.exe 3.exe …9.exe
v c 顯示C:\autorun.inf的內容
s c 顯示C:\autorun.inf的文件信息
d c:\1.exe 強制刪除1.exe(無論是否隱藏)

s* 系統支持文件
==================================================================
病毒Toolkit使用說明,以加密狗為例:
1.v c 查看auto病毒程序的文件名(fhrqdpi.exe)
2.上網查進程(afdyvnr.exe nboqcey.exe)
3.執行k afdyvnr nboqcey,循環結束進程
4.d c:\fhrqdpi.exe 刪除文件
5.到注冊表中搜索afdyvnr.exe,nboqcey.exe并刪除
6.重起就OK了
==================================================================
更多程序請訪問:MiaoQiyuan.cn

防止病毒Auto病毒程序新思路

@echo off
title    防止病毒Auto病毒程序
if S%1==Shelp goto Help
if S%1==S goto Help
%1:
goto testauto
:clean
attrib \autorun.inf -s -h -a
del \autorun.inf /q
md \autorun.inf
:testauto
for /f %%a in    (\autorun.inf) do if "%%a"=="[AutoRun]" goto clean&cls
for /f %%a in    (\autorun.inf) do if "%%a"=="[AUTORUN]" goto clean&cls
for /f %%a in    (\autorun.inf) do if "%%a"=="[autorun]" goto clean&cls
for /f %%a in    (\autorun.inf) do if "%%a"=="[Autorun]" goto clean&cls
:bulider
if not exist adtext.txt goto bulidertxt
for /f %%a in (adtext.txt) do md \autorun.inf\%%a..\&cls
for /f %%a in (adtext.txt) do copy %0 \autorun.inf\%%a..\%~n0.cmd&cls
del adtext.txt
pause>nul|echo 防止病毒Auto病毒程序安裝完畢。
goto end
:bulidertxt
::增加版權信息
echo 防止病毒Auto病毒程序>>adtext.txt
echo YQYStudio.org.cn榮譽出品>>adtext.txt
echo QQ_77068320>>adtext.txt
echo E-mail_miaoqiyuan@yqystudio.org.cn>>adtext.txt
goto bulider
:Help
echo YQYStudio Auto Viurs Killer 1.0 Beta 070526
echo.
echo USER: %~n0 {Driver Name^|Help}
echo.
echo TEST: %~n0 E          //Driver Name is e:\
echo         %~n0 help
echo.
echo Design By MQYCN@[YQYStudio] 20070526
echo.
set/p Input=請輸入你要保護的盤符:
call %%0 %Input%
:end