作者: shunze 發表時間: 2007-09-18, 11:29:
《分享》灰鴿子解毒批次檔實作
最近因為 kavo 這隻病毒,讓我對批次檔的撰寫有了一點基本概念;
加上意外發現老闆的NB又再次中了灰鴿子病毒...
所以閒著也閒著,順子利用這難得的颱風假,實作了灰鴿子的解毒批次檔∼
灰鴿子的解毒原理如上文所述。
以下的批次檔內容除了cmd.exe這個部份未複製外,已將完整解毒程序收編在其中。
@echo off
cls
echo "產生解毒工具。"
COPY %windir%\regedit.exe C:\ghedit.exe
echo "中止病毒程序。"
NET STOP "Kerberos Key Distribution Centers" >nul 2>nul
echo "刪除系統碟中的中毒文件。"
DEL %windir%\lsass.exe /F /Q /A R H S A >nul 2>nul
DEL %windir%\setuprs1.pif /F /Q /A R H S A >nul 2>nul
DEL %windir%\cmd.exe.exe /F /Q /A R H S A >nul 2>nul
DEL %windir%\regedit.exe.exe /F /Q /A R H S A >nul 2>nul
DEL %windir%\r.exe /F /Q /A R H S A >nul 2>nul
echo "刪除各分割區根目錄下病毒檔案。"
for %%a in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do (
echo 清除%%a碟中...
for %%b in (EXE COM PIF) do (
attrib -r -s -h -a %%a:\RECYCLER\*.%%b /s >nul 2>nul
attrib -r -s -h -a %%a:\RECYCLED\*.%%b /s >nul 2>nul
del %%a:\recycler\*.%%b /s /q /f >nul 2>nul
del %%a:\recycled\*.%%b /s /q /f >nul 2>nul
)
RMDIR %%a:\runauto...\ /s /q >nul 2>nul
DEL %%a:\autorun.* /f /q /a r h s a >nul 2>nul
)
echo "清理註冊表中相關項目。"
@echo Windows Registry Editor Version 5.00 >C:\fix.reg
@echo [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe] >>C:\fix.reg
@echo [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe] >>C:\fix.reg
@echo [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe] >>C:\fix.reg
@echo [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedt32.exe] >>C:\fix.reg
@echo [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kkcc] >>C:\fix.reg
@echo [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] >>C:\fix.reg
@echo "C:\\WINDOWS\\lsass.exe"=- >>C:\fix.reg
@echo [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kkcc] >>C:\fix.reg
@echo [KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] >>C:\fix.reg
@echo "C:\\WINDOWS\\lsass.exe"=- >>C:\fix.reg
C:\ghedit.exe /s c:\fix.reg
echo "刪除解毒過程中產生的檔案。"
DEL C:\fix.reg >nul 2>nul
DEL C:\ghedit.exe >nul 2>nul
echo "解毒完成,請重新開機。"
pause
在批次檔中之所以未複製cmd.exe這個檔案,其原因在於批次檔本身必需依附在cmd.exe中執行。
所以,如果能順利執行此批次檔的話,代表cmd.exe已能正常運作,何來複製的必要?
如果無法執行此批次檔,那麼還是必需靠您自己手動複製一個cmd.exe。
(記住喔∼原始路徑下的cmd.exe名稱已被灰鴿子封鎖,所以一定要改個名字或是複製到其它路徑下才行!)
然後在透過這個異名、自行複製的cmd來執行此批次檔。
解灰鴿子病毒的批次已附加於本文中,請自行下載解縮壓後使用。
|