廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 2382 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[資訊教學] 打造自己的病毒清除工具
來 源: 賽迪網

打造自己的病毒清除工具
作者:趨勢科技 發文時間:2004.07.22


注:以下的方法僅適用非檔感染型的蠕蟲、木馬以及後門程式,適用平臺為win2k以及winxp

使用相關程式說明:
  reg.exe命令行註冊表修改工具,winxp安裝完畢後即存在系統中,win2k的系統可以通過win2k安裝光碟下Support\Tools目錄中的setup.exe安裝。
  Pskill.exe進程中止工具,該工具可以從


http://www.microsoft.com/technet/sys...ies/pstools.mspx下載。
  一個批次處理分為以下部分:
  1.病毒服務處理部分
  2.病毒進程處理部分
  3.註冊表的清理部分
  4.病毒檔的清理部分
詳細說明
病毒服務處理部分:
  使用win2k以及winxp下的net stop命令進行病毒服務程式的停止,語法如下
net stop [服務名稱]
  舉例來說:net stop _reg,將停止名為_reg的服務程式運行
病毒進程處理部分:
  使用前述的pskill.exe工具進行病毒程式進程的中止
pskill [進程檔案名稱]
  舉例來說:pskill spollsv.exe,將中止名為spollsv.exe的程式的運行
註冊表的清理部分:
  使用命令行註冊表修改工具進行註冊表的清理
• 註冊表項目的刪除
1.子鍵的刪除
reg delete [子鍵名稱] /f
2.註冊表值的刪除
reg delete [子鍵名稱] [/v值名稱] /f
• 註冊表專案的修改
reg add [子鍵名稱] [/v值名稱] [/t值類型] [/d值] /f
注:reg工具使用說明
REG command KeyName [/v ValueName | /ve] [/t Type] [/s Separator] [/d Data] [/f]
command,指定的操作類型
add,修改或添加註冊表專案
delete,刪除註冊表項目
KeyName,註冊表鍵,即根鍵與註冊表鍵的組合
FullKey ROOTKEY\SubKey
根鍵ROOTKEY [ HKLM | HKCU | HKCR | HKU | HKCC ]
子鍵SubKey
/v,標識子鍵下的值名稱
/t,值資料類型
[ REG_SZ|REG_MULTI_SZ|REG_DWORD_BIG_ENDIAN|REG_DWORD
|REG_BINARY|REG_DWORD_LITTLE_ENDIAN|REG_NONE|REG_EXPAND_SZ]
缺省則默認為REG_SZ類型
/d,標識要添加到某個註冊表值下的資料,註冊表值名稱由/v參數指定
/f,不需用戶確認,強制執行對註冊表的刪除或是覆蓋
示例
reg delete HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunServices /v "COM++ System" /f
以上命令將刪除
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\RunServices鍵下的,名為"COM++ System"的值
病毒檔的清理部分:
  使用del命令簡單的刪除病毒檔,由於病毒的檔通常生成在windows安裝目錄下的一些系統目錄中,可以使用替代符%windir%指示windows的安裝路徑
示例
del %windir%\system32\spollsv.exe
病毒清除批次處理示例:

rem WORM_LOVGATE.AF
@echo off
rem service part
net stop _reg

rem process part
pskillhxdef.exe
pskillravmond.exe
pskilltkbellexe.exe
pskillupdate_ob.exe
pskillcdplay.exe
pskillspollsv.exe
pskill iexplorer.exe

rem registry clean part
reg delete HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\RunServices /v "COM++ System" /f
reg delete HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\RunServices /v "SystemTra" /f
reg delete HKEY_LOCAL_MACHINE\Software\Microsoft
\Windows\CurrentVersion\Run /v "WinHelp" /f
reg delete HKEY_LOCAL_MACHINE\Software\Microsoft
\Windows\CurrentVersion\Run /v "Hardware Profile" /f
reg delete HKEY_LOCAL_MACHINE\Software\Microsoft
\Windows\CurrentVersion\Run /v "Microsoft Associates, Inc." /f
reg delete HKEY_LOCAL_MACHINE\Software\Microsoft
\Windows\CurrentVersion\Run /v "Program In Windows" /f
reg delete HKEY_LOCAL_MACHINE\Software\Microsoft
\Windows\CurrentVersion\Run /v "Shell Extension" /f
reg delete "HKEY_CURRENT_USER\Software\Microsoft
\Windows NT\CurrentVersion\Windows" /v "run" /f
reg delete HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\_reg /f

rem file clean part
del %windir%\system32\hxdef.exe
del %windir%\system32\iexplorer.exe
del %windir%\system32\kernel66.dll
del %windir%\system32\ravmond.exe.exe
del %windir%\system32\tkbellexe.exe
del %windir%\system32\update_ob.exe
del %windir%\cdplay.exe
del %windir%\system32\spollsv.exe

(責任編輯:宋紅偉)



爸爸 你一路好走
獻花 x0 回到頂端 [樓 主] From:臺灣 | Posted:2006-12-14 18:54 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.098334 second(s),query:15 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言