查看完整版本: 怎样简单杀掉机器狗

怎样简单杀掉机器狗

日前，一种可以穿透各种还原软件与硬件还原卡的机器狗病毒异常肆虐。此病毒通过pcihdd.sys驱动文件抢占还原软件的硬盘控制权。并修改用户初始化文件userinit.exe来实现隐藏自身的目的。此病毒为一个典型的网络架构木马型病毒，病毒穿透还原软件后将自己保存在系统中，定期从指定的网站下载各种木马程序来截取用户的帐号信息。那么我们就可以找一个原始的没有经过污染的userinit.exe来替换掉已经被感染的userinit.exe文件。当然首先要删除这个文件。
附件就修改成原始的userinit.exe文件好了。

1)首先建立一个文本文件，重命名为a.bat，在a.bat文件上右击选择“编辑”命令，进入bat的编辑模式，把下面这段内容复制进入，保存。
[code]@echo off
tasklist |find/i "comrepl32.exe" &&taskkill /im comrepl32.exe /f
tasklist |find/i "comrepl32.exe" &&taskkill /im comrep132.exe /f
del /q "c:\windows\system32\Com\comrepl32.exe" >nul
del /q "c:\windows\system32\Com\comrep132.exe" >nul
del /q "c:\windows\system32\config\AppEventw.cfg" >nul
del /q "c:\windows\system32\drivers\pcibus.sys" >nul
del /q  "c:\Windows\system32\com\comrereg.exe" >nul
del /q "c:\windows\system32\usrinit.exe" >nul
cls
tasklist |find/i "conime0.exe" &&taskkill /im conime0.exe /f&&attrib -h -s -r conime0.exe&&del /f /q conime0.exe
copy /y sysvir.txt "%temp%\" >nul
:::Hosts文件替换，屏蔽恶意网站
copy /y hosts "%temp%\" >nul
cd/d %systemroot%\system32\drivers\etc
echo y|cacls hosts /g everyone:f >nul
copy /y "%temp%\hosts" >nul
echo y|cacls hosts /g everyone:r >nul
:::即时查杀
del /q "c:\windows\system32\Com\comrepl32.exe" >nul
del /q "c:\windows\system32\Com\comrep132.exe" >nul
cd/d %SystemRoot%
tasklist |find/i "conime0.exe" &&taskkill /im conime0.exe /f&&attrib -h -s -r conime0.exe&&del /f /q conime0.exe
tasklist |find/i "IGM.exe" &&taskkill /im IGM.exe /f&&attrib -h -s -r IGM.exe&&del /f /q IGM.exe
tasklist |find/i "IG.exe" &&taskkill /im IG.exe /f&&attrib -h -s -r IG.exe&&del /f /q IG.exe
tasklist |find/i "IGW.exe" &&taskkill /im IGW.exe /f&&attrib -h -s -r IGW.exe&&del /f /q IGW.exe
tasklist |find/i "faywpp.exe" &&taskkill /im faywpp.exe /f&&attrib -h -s -r faywpp.exe&&del /f /q faywpp.exe
tasklist |find/i "usrinit.exe" &&taskkill /im usrinit.exe /f
tasklist |find/i "userinit.exe" &&taskkill /im userinit.exe /f
cls
del /q "c:\windows\system32\Com\comrepl32.exe" >nul
del /q "c:\windows\system32\Com\comrep132.exe" >nul
:::开始免疫
title 正在为机器狗和IGM打免疫补丁,大概需要一分钟左右,请稍候--------
cd/d "%temp%\"
for /f "delims=@" %%s in (sysvir.txt) do (
     cls
     echo.
     echo.
     echo 目前正为 %%s 病毒打上免疫补丁…………………
     cd\
     if not exist %%s (
       md %%s\101\202
       cd\
       cd %%s
       md Mouse..\
       cd 101
       md Mouse..\
       echo y|cacls 202 /d everyone >nul
       cd..
       echo y|cacls 101 /d everyone >nul
       cd\      
       ATTRIB +R +H +S %%s >nul
     ) else (cd/d "%temp%\")
     cd/d "%temp%\"
)
:::以下照搬zhenyun168版主的批处理中的注册表禁止部分,特此声明并感谢!!!
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IGM.exe" /v debugger /t reg_sz /d debugfile.exe /f >nul
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\conime0.exe" /v debugger /t reg_sz /d debugfile.exe /f >nul
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IGW.exe" /v debugger /t reg_sz /d debugfile.exe /f >nul
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IG.exe" /v debugger /t reg_sz /d debugfile.exe /f >nul
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQSC.exe" /v debugger /t reg_sz /d debugfile.exe /f >nul
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Kvsc3.exe" /v debugger /t reg_sz /d debugfile.exe /f >nul
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\faywpp.exe" /v debugger /t reg_sz /d debugfile.exe /f >nul
cls
del /f /q "%temp%\sysvir.txt"
del /f /q "%temp%\hosts"
exit[/code]
2)接着再建立一个文本文件，重命名为b.bat，在b.bat文件上右击选择“编辑”命令，进入bat的编辑模式，把下面这段内容复制进入，保存。
[code]echo off
msiexec   -i    flash.msi  /passive
@echo 删除系统病毒文件
del /s "c:\windows\system32\userinit.exe"

del /s "c:\windows\system32\usrinit.exe"
start userinit.exe
pause
regedit /s 修改启动.reg
@echo 调用e盘批处理

start "E:\系统更新\客户机开机运行\run.bat"
exit[/code]
3)运行a.bat文件。
4)运行b.bat文件。
5)把附件内的userinit.exe复制到c:\windows\system32这个文件目录里。
先后运行A和B文件.再把附件中的userinit.exe粘贴到\WINDOWS\system32下.就OK了.

[size=5][color=Red][font=微软雅黑]你的支持是我最大的鼓励。多点红心支持哦。[/font][/color][/size]

[[i] 本帖最后由 codeer 于 2008-9-1 12:53 编辑 [/i]]

好不好用呀.下了试试再说吧.应该是不错的东西.

很好 虽然我看不懂 但是我真的很佩服楼主 收藏了

谢谢版主了啊。
看过就知道下次该咋发了:teeth

我也看不明白，但是楼主辛苦了，顶下先吧。

*** 作者被禁止或删除 内容自动屏蔽 ***

谢谢了,我会记住 的,呵呵.能交个朋友吗?怎么联系你?

谢谢了,我会记住 的,呵呵.能交个朋友吗?怎么联系你?