來 源： 賽迪網

打造自己的病毒清除工具
作者：趨勢科技 發文時間：2004.07.22


注：以下的方法僅適用非檔感染型的蠕蟲、木馬以及後門程式，適用平臺為win2k以及winxp

使用相關程式說明：
　　reg.exe命令行註冊表修改工具，winxp安裝完畢後即存在系統中，win2k的系統可以通過win2k安裝光碟下Support\Tools目錄中的setup.exe安裝。
　　Pskill.exe進程中止工具，該工具可以從


http://www.microsoft.com/technet/sys...ies/pstools.mspx下載。
　　一個批次處理分為以下部分：
　　1.病毒服務處理部分
　　2.病毒進程處理部分
　　3.註冊表的清理部分
　　4.病毒檔的清理部分
詳細說明
病毒服務處理部分：
　　使用win2k以及winxp下的net stop命令進行病毒服務程式的停止，語法如下
net stop [服務名稱]
　　舉例來說:net stop _reg，將停止名為_reg的服務程式運行
病毒進程處理部分：
　　使用前述的pskill.exe工具進行病毒程式進程的中止
pskill [進程檔案名稱]
　　舉例來說:pskill spollsv.exe，將中止名為spollsv.exe的程式的運行
註冊表的清理部分：
　　使用命令行註冊表修改工具進行註冊表的清理
• 註冊表項目的刪除
1.子鍵的刪除
reg delete [子鍵名稱] /f
2.註冊表值的刪除
reg delete [子鍵名稱] [/v值名稱] /f
• 註冊表專案的修改
reg add [子鍵名稱] [/v值名稱] [/t值類型] [/d值] /f
注：reg工具使用說明
REG command KeyName [/v ValueName | /ve] [/t Type] [/s Separator] [/d Data] [/f]
command，指定的操作類型
add，修改或添加註冊表專案
delete，刪除註冊表項目
KeyName，註冊表鍵，即根鍵與註冊表鍵的組合
FullKey ROOTKEY\SubKey
根鍵ROOTKEY [ HKLM | HKCU | HKCR | HKU | HKCC ]
子鍵SubKey
/v，標識子鍵下的值名稱
/t，值資料類型
[ REG_SZ|REG_MULTI_SZ|REG_DWORD_BIG_ENDIAN|REG_DWORD
|REG_BINARY|REG_DWORD_LITTLE_ENDIAN|REG_NONE|REG_EXPAND_SZ]
缺省則默認為REG_SZ類型
/d，標識要添加到某個註冊表值下的資料，註冊表值名稱由/v參數指定
/f，不需用戶確認，強制執行對註冊表的刪除或是覆蓋
示例
reg delete HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunServices /v "COM++ System" /f
以上命令將刪除
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\RunServices鍵下的，名為"COM++ System"的值
病毒檔的清理部分：
　　使用del命令簡單的刪除病毒檔，由於病毒的檔通常生成在windows安裝目錄下的一些系統目錄中，可以使用替代符%windir%指示windows的安裝路徑
示例
del %windir%\system32\spollsv.exe
病毒清除批次處理示例：

rem WORM_LOVGATE.AF
@echo off
rem service part
net stop _reg

rem process part
pskillhxdef.exe
pskillravmond.exe
pskilltkbellexe.exe
pskillupdate_ob.exe
pskillcdplay.exe
pskillspollsv.exe
pskill iexplorer.exe

rem registry clean part
reg delete HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\RunServices /v "COM++ System" /f
reg delete HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\RunServices /v "SystemTra" /f
reg delete HKEY_LOCAL_MACHINE\Software\Microsoft
\Windows\CurrentVersion\Run /v "WinHelp" /f
reg delete HKEY_LOCAL_MACHINE\Software\Microsoft
\Windows\CurrentVersion\Run /v "Hardware Profile" /f
reg delete HKEY_LOCAL_MACHINE\Software\Microsoft
\Windows\CurrentVersion\Run /v "Microsoft Associates, Inc." /f
reg delete HKEY_LOCAL_MACHINE\Software\Microsoft
\Windows\CurrentVersion\Run /v "Program In Windows" /f
reg delete HKEY_LOCAL_MACHINE\Software\Microsoft
\Windows\CurrentVersion\Run /v "Shell Extension" /f
reg delete "HKEY_CURRENT_USER\Software\Microsoft
\Windows NT\CurrentVersion\Windows" /v "run" /f
reg delete HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\_reg /f

rem file clean part
del %windir%\system32\hxdef.exe
del %windir%\system32\iexplorer.exe
del %windir%\system32\kernel66.dll
del %windir%\system32\ravmond.exe.exe
del %windir%\system32\tkbellexe.exe
del %windir%\system32\update_ob.exe
del %windir%\cdplay.exe
del %windir%\system32\spollsv.exe

(責任編輯：宋紅偉)