批处理清除setuprs1病毒
应用批处理程序设计病毒专杀工具
批 处 理 最 简 单 的 应 用 是逐 行 书 写在 命 令 行 中 会用 到 的 各种 命 令 。 更 复 杂 的 情 况 ,需 要 使 用 i o、gt 命 令 控 制 程 序 f r o 、f o等
的运 行 过 程 , 如 同 C、B s ai c等 中高 级 语 言 一 样 。如 果 需 要 实 现 更 复 杂 的应 用 ,利 用 外 部程 序是 必要 的 .这包 括 系 统本 身 提
批 处 理 文 件 的 名 称 ,或 者 双 击 该 批 处 理 文 件 , 系 统 就 会 调 用 c de e运行 该 批 处 理 程 序 。一 般 情 况 下 ,每 条 命 令 占据 一 行 ; m . x
eh c o% p n 的 文 件 系统 类 型是 % v r a% a%
p u e u a s >n l
的 系统 应 用 、查 杀 病 毒 与清 除垃 圾 文 件 程 序 。
1 批 处 理 简 介
批 处 理 ( a h ,也 称 为 批 处 理 脚 本 。 顾 名 思 义 ,批 处 理 Bt) c 就 是 对 某 对 象 进 行 批 量 的 处 理 。批 处 理 文 件 的 扩 展 名 为 b t a。 批 处 理 是 一 种 简 化 的脚 本 语 言 , 也 称 作 宏 。 它 应 用 于 D S和 O
g t oo 1
输 入 对 应 的 盘符 ,其 应 用 如 图 1 所示 。
当 然也 可 以 将 多 条 命 令 用 特 定 符 号 ( :&、& 如 &、l l ) 分 、l 等 隔 后 写 入 同一 行 中 ;还 有 的情 况 就 是 像 i o 等 较 高 级 的命 令 f r 、f 则 要 占据 几 行 甚 至 几 百 行 的 空 间 。 系统 在解 释 运 行 批 处 理 程 序
完全删除update.exe病毒的清理方法
完全删除update.exe病毒的清理方法完全删除update.exe病毒的清理方法1.update.exe在启动项里启动,文件位置在把C:\Program Files\Common Files\UPDATE下,包括把update.dat和update.exe,删除2.在其他系统文件夹下C:\WINDOWS和C:\WINDOWS\SYSTEM32下查找可疑文件,可疑文件是任意生成的...例如up.dll、UPDATE.exe、spted.dll等,删除3.删除C:\WINDOWS\SYSTEM32\WBEM\IRJIT.dll4.在注册表中搜索IRJIT.dll字串,将查找到的相应服务信息删除5.重新启动计算机update.exe会在启动项里添加,把C:\Program Files\Common Files\UPDATE 把update.dat和update.exe删除还可能会有Quote:C:\Program Files\Common Files\SANDupdatesr.inisvr.datqqfacerclient.exetwunk_8.exe删除其他C:\WINDOWS和C:\WINDOWS\SYSTEM32下的可疑文件,似乎可疑文件是任意生成的...例如up.dll、UPDATE.exe、spted.dll等删除C:\WINDOWS\SYSTEM32\WBEM\IRJIT.dll,用REGEDIT 搜索IRJIT.dll,将相映的服务(System Event Logger)整个删除,不能找到IRJIT.dll相关信息为止。
服务System Event Logger和文件IRJIT.dll都披着MICROSOFT 的马甲,以为真的是XP自带的服务和文件呢...仿真度99%...。
windows批处置命令教程
windows批处置命令教程批处置文件是无格式的文本文件,它包括一条或多条命令。
它的文件扩展名为 .bat 或 .cmd。
在命令提示下键入批处置文件的名称,或双击该批处置文件,系统就会挪用Cmd.exe依照该文件中各个命令显现的顺序来逐个运行它们。
利用批处置文件(也被称为批处置程序或脚本),能够简化日常或重复性任务。
固然咱们的那个版本的要紧内容是介绍批处置在入侵中一些实际运用,例如咱们后面要提到的用批处置文件来给系统打补丁、批量植入后门程序等。
下面就开始咱们批处置学习之旅吧。
一.简单批处置内部命令简介1.Echo 命令打开回显或关闭请求回显功能,或显示消息。
若是没有任何参数,echo 命令将显示当前回显设置。
语法echo [{on|off}]echo [message]Sample:@echo off / echo hello world注意上面是两条语句,若是看成一条语句写在一行,那么@echo后面都作为回显文本,而不是关掉回显,然后再输出hello worldecho off 通过命令行输入那么命令行的prompt消失,只有一个闪烁的光标但更经常使用的是用在批处置文件中:DOS在运行批处置时,会依次执行批处置中的每条命令,而且会在显示器上显示每条命令,若是你不想让它们显示,能够加一个“echo off”比如:echo offdel *.txtpause就会不显示del *.txt,可是若是碰到了错误(比如目录下没有txt文件)或命令本身有输出(如ipconfig命令),那仍是会有输出的。
固然,“echo off”也是命令,它本身也会显示(因为执行这一条时,状态仍是要回显的),若是连这条也不显示,就在前面加个“@”。
在实际应用中咱们会把这条命令和重定向符号(也称为管道符号,一样用> >> ^)结合来实现输入一些命令到特定格式的文件中.这将在以后的例子中表现出来。
2.@指令@符号在批处置中的作用是关闭当前行命令的回显,echo off的作用就相当于在每条命令前面加一个@符号,如此所有的命令将只会显示结果不显示命令.Sample:@echo off@echo Now initializing the program,please wait a minite...@format X: /q/u/autoset (format 那个命令是不能够利用/y那个参数的,可喜的是微软留了个autoset那个参数给咱们,成效和/y是一样的。
批处理清除最新病毒
for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do (
if exist %%d: dir "%%d:\*.*" /b /ah | find ".inf">>test5.忆林子
shell\open\Command=同目录下的那个隐藏的exe文件名
shell\open\Default=1
shell\explore=资源管理器(^&X)
shell\explore\Command=同目录下的那个隐藏的exe文件名
如果你的情况跟我这里描述的符合的话,那么你可以把下面的 红色代码复制下来,
rem 删除病毒的启动项
reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v bjifays /f
reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v hsomklg /f
echo.
echo 该病毒建立的包括的源文件如下:
echo.
echo 病毒文件全路径 大小(字节)
echo C:\Program Files\%test1% 169
C:\Program Files\Common Files\System\ 目录下新建一个 .exe 文件
特殊文件夹的创建(带点、带空格、等特殊字符)
文件夹后面带有两点的文件夹删除、打开、创建方法文件夹如上图所示,既不能打开又不能删除,当你打开它的时候会提示:删除又提示:怎么办?下面教大家解决方法:打开方法:在地址栏输入路径:D:\test... 即可打开注意:这个路径后面是三个点,而文件夹的名字只有两个点。
创建方法:在CMD命令行下用MD命令创建。
比如:带点文件夹创建经常会在服务器上看到有一些带点的文件夹,这种文件夹双击无法打开,也无法在windows下创建,因为windows系统对文件命名有限制,命名文件夹时输入“.”是不会显示在文件名上的;带点的文件夹一般用来存放私人资料或者在服务器上存放网站文件,因为不能打开也不能删除从而保障了内部资料的安全性,当然也有的是一些病毒引起的,想要删除这些文件就必须知道这类文件的产生原理,假如说要在C盘下创建一个名为"File."的文件夹:在命令提示符下输入:md File..\就产生了一个名为File.的文件夹,这里要注意的是创建的时候要输入两个“.”,并且带“\”;删除也是相同的道理rd File..\(这个删除命令只对空文件夹有效,如果文件夹不为空就需要输入参数,在命令后面加上/s/q即可,及rd File..\/s/q);我们新建文件夹肯定是为了在文件夹下存放一些文件,常规的鼠标双击或者右键都打不开文件夹,这个时候我们需要使用编辑命令:start C:\File..\(这里要注意的是start命令必须带绝对路径)文件夹自动打开让我们编辑,这个时候我们会发现File。
文件夹所在的根目录会出现一个名为File的文件夹,关闭File.文件夹File文件夹也跟着消失,如果这个时候我们在同级目录下新建一个File的文件是可以打开File.文件夹的,但是看不到任何文件夹下的内容,我们可以删除File.和File两个文件夹中的任何一个,但却不能全部删除,而且内部数据不会消失,从一定方面来讲带点的文件夹保障了数据的安全性,但这种带点的文件只可以在windows xp及以下版本版本上创建,新版本的操作系统如:win7已经没有这些功能,我曾经试着用attrib +a +r 命令为带点的文件夹加上隐藏和只读属性来进一步保护数据安全,但可惜的是我发现只有在早的NT系统控制台下才能达到预期的效果,后期的2000/03/08以及xp系统的上NT系统控制台以及发生了很大的变化,不再支持这一功能。
教你彻底清除病毒遗留-电脑资料
教你彻底清除病毒遗留-电脑资料目前不少流行的网络病毒一旦启动后,会自动在计算机系统的注册表启动项中遗留有修复选项,待系统重新启动后这些病毒就能恢复到修改前的状态了,。
为了“拒绝”网络病毒重启,我们可以手工将注册表中的病毒遗留选项及时删除掉,以确保计算机系统不再遭受病毒的攻击。
经常在网络上冲浪,十有八九避免不了网络病毒的攻击,用专业杀毒程序清除了这些病毒程序并重新启动计算机系统后,我们有时会发现先前已经被清除干净的病毒又卷土重来了,这是怎么回事呢?原来目前不少流行的网络病毒一旦启动后,会自动在计算机系统的注册表启动项中遗留有修复选项,待系统重新启动后这些病毒就能恢复到修改前的状态了。
为了“拒绝”网络病毒重启,我们可以从一些细节出发,来手工将注册表中的病毒遗留选项及时删除掉,以确保计算机系统不再遭受病毒的攻击。
阻止通过网页形式启动不少计算机系统感染了网络病毒后,可能会在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVer sion\RunOnce、HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVer sion\Run、HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVer sion\RunServices等注册表分支下面的键值中,出现有类似有。
html 或。
htm这样的内容,事实上这类启动键值主要作用就是等计算机系统启动成功后,自动访问包含网络病毒的特定网站,如果我们不把这些启动键值及时删除掉的话,很容易会导致网络病毒重新发作。
为此,我们在使用杀毒程序清除了计算机系统中的病毒后,还需要及时打开系统注册表编辑窗口,并在该窗口中逐一查看上面的几个注册表分支选项,看看这些分支下面的启动键值中是否包含有。
html 或。
htm这样的后缀,一旦发现的话我们必须选中该键值,然后依次单击“编辑”/“删除”命令,将选中的目标键值删除掉,最后按F5功能键刷新一下系统注册表就可以了。
如何清除IEXPLORE.exe病毒
近日,电脑里出现一个IEXPLORE.exe的家伙.很是烦人.在进程里占用不少的CPU和内存资源,而且关不了.屡关屡开,最多有五六个之多.可把我气坏了.使用杀毒软件,和优化大师根本不行.
后来在网上搜索到一种清除的办法.现告诉大家.
手工查杀流程:
1、点击:“开始”、“运行”。
键入regedit,按回车。
清理注册表:
(1)展开:HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
删除:"load"=""
(2)展开:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ex plorer\Run
删除:"twin"="X:\\windows\\system32\\twunk32.exe"
2、重启。
显示隐藏文件。
3、删除X:\windows\system32\twunk32.exe。
4、卸载QQ。
重新安装。
因为QQ文件夹中的TIMPlatform.exe已被病毒覆盖
注:
1、X为系统盘盘符。
2、如果你觉得TIMPlatform.exe没什么用,就直接删了它。
不重新安装QQ,也行。
祝你好运!。
批处理脚本自动清理Windows错误报告和崩溃转储文件
批处理脚本自动清理Windows错误报告和崩溃转储文件近年来,随着电脑使用的日益普及,Windows错误报告和崩溃转储文件也越来越频繁地出现在我们的计算机中。
这些错误报告和崩溃转储文件不仅占用硬盘空间,还可能影响计算机的性能。
为了解决这个问题,我们可以通过编写一个批处理脚本来实现自动清理Windows错误报告和崩溃转储文件的功能。
首先,让我们来了解一下Windows错误报告和崩溃转储文件。
Windows错误报告是操作系统自动收集的关于发生错误或意外终止的信息,用于帮助微软改进其产品。
崩溃转储文件是在计算机系统崩溃或出现严重错误时自动生成的文件,其中包含了系统状态的快照,用于帮助分析并解决问题。
要编写批处理脚本自动清理这些文件,我们可以使用Windows自带的命令行工具“Disk Cleanup”(磁盘清理)。
下面是一个示例脚本:```batch@echo offecho 正在清理Windows错误报告和崩溃转储文件...cleanmgr /sagerun:1echo 清理完成!```在这个脚本中,我们使用了“cleanmgr”命令并指定了参数“/sagerun:1”。
这个参数告诉系统执行磁盘清理,并且使用事先定义好的一组清理规则。
我们可以将这个命令保存为一个批处理文件(扩展名为.bat),然后通过双击运行该文件,即可执行自动清理操作。
为了提高脚本的效率,我们还可以将其设置为定期执行。
例如,可以将脚本添加到Windows计划任务中,每周自动执行一次。
这样,我们就不用担心忘记手动清理这些文件了。
当然,根据个人的需求和实际情况,我们还可以进一步完善这个批处理脚本,例如添加日志记录功能,将清理操作的结果输出到一个文本文件中,以便后续查看。
或者,我们还可以添加其他清理功能,如清理临时文件、垃圾邮件等,以进一步释放磁盘空间并提升计算机的性能。
总而言之,编写一个批处理脚本来自动清理Windows错误报告和崩溃转储文件是非常实用的。
命令窗口打不开
灰鸽子后门病毒dllhost.exe手工查杀流程昨天在“开始”菜单“运行”里输入“cmd”运行命令行窗口,防火墙ZoneAlarm提示一个可疑程序setuprs1.pif试图运行,禁止了这个可疑程序后命令行窗口就无法打开。
于是Google之,得知不幸中病毒了:新版灰鸽子后门病毒dllhost.exe。
症状和查杀方法如下:症状:1.打开“我的电脑”,“工具”菜单->“文件夹选项”->“查看”,将“隐藏受保护的操作系统文件”前面的小勾勾去掉,选中“显示所有文件和文件夹”,以显示隐藏文件和受保护文件;2.打开C:\Windows\文件夹,该文件夹下有如下两个文件:dllhost.exe (使用Del或者Shift+Del都无法删除)setuprs1.exe有时还会有:regedit.exe.execmd.exe.exe3.查看硬盘各分区根目录,有如下两个文件:文件夹runauto..(使用Del或者Shift+Del同样无法删除)文件autorun.infrunauto..文件夹中包含病毒文件autorun.pifautorun.inf文件内容:[AutoRun]open=RUNAUT~1\autorun.pifshell\1=打开(&O)shell\1\Command=RUNAUT~1\autorun.pifshell\2\=浏览(&B)shell\2\Command=RUNAUT~1\autorun.pifshellexecute=RUNAUT~1\autorun.pif4.感染U盘,且可通过U盘传播。
U盘根目录下的病毒文件内容与硬盘各分区根目录下的病毒文件内容相同。
(我的电脑就是这样被感染的)查杀方法:很多杀毒软件都查不出这个病毒(包括我用的McAfee),更不用说杀掉了。
需要两个工具软件配合手动删除。
工具软件:IceSwordAutoruns (都不大,前者3.8M左右,后者不到400K)步骤:1.运行IceSword,在其中禁止进程创建;2.在IceSword中结束病毒进程%windows%\dllhost.exe;3.删除病毒文件:C:\Windows\dllhost.exeC:\Windows\setuprs1.exeX:\runauto..\autorun.pif(X代表各硬盘分区以及U盘盘符)X:\runauto..文件夹4.删除病毒服务项:在注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下,服务名为“COMSystemApp”,右键,删除;如下图;5.删除下列注册表项:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\ StandardProfile\AuthorizedApplications\List分支下的"C:\\windows\\dllhost.exe"="C:\\windows\ \dllhost.exe:*:Enabled:dllhost.exe"6.删除病毒添加的IFEO项:运行Autoruns,在“所有项目”下找到HKLM\Software\Microsoft\Windws NT\CurrenVersion\Image File Execution Options项,将下图中红框内四项前的对号去掉;7.取消IceSword的“禁止进程创建”。
防止杀毒软件被病毒禁止的批处理介绍
防止杀毒软件被病毒禁止的批处理介绍:Ghost.pif就是这类病毒,它在杀毒软件安装目录里面伪造一个恶意的Ws2_32.dll文件,导致杀毒软件在启动时不能加载正确的Ws2_32.dll文件,出现“0xc00000ba”错误。
为了阻止病毒禁用杀毒软件,于是新建了一个文件名为A的批处理代码如下粗体部分:@echo off 关闭回显cd\ 转换到根目录cd /d %systemdrive% 转换到系统盘根目录cd program files\ rising\ rav 进入杀毒软件安装目录rd ws2_32.dll/s/q??? 删除ws2_32.dll文件copy %windir%\system32\ws2_32.dll???? 将system32下面ws2_32.dll拷贝到杀毒软件安装目录下attrib +s +h +r ws2_32.dll??? 设置ws2_32.dll为只读文件、系统文件、隐藏文件属性。
将批处理放到桌面上,如果遇到用伪造Ws2_32.dll文件禁用杀毒软件的此类病毒,双击它即可正常使用杀毒软件。
电脑病毒按病毒的算法分类有哪些:电脑病毒:伴随型病毒这一类病毒并不改变文件本身,它们根据算法产生EXE文件的伴随体,具有同样的名字和不同的扩展名COM,例如:XCOPY.EXE的伴随体是XCOPY-COM。
病毒把自身写入COM文件并不改变EXE文件,当DOS加载文件时,伴随体优先被执行到,再由伴随体加载执行原来的EXE文件。
电脑病毒:“蠕虫”型病毒通过计算机网络传播,不改变文件和资料信息,利用网络从一台机器的内存传播到其它机器的内存,计算网络地址,将自身的病毒通过网络发送。
有时它们在系统存在,一般除了内存不占用其它资源。
电脑病毒:寄生型病毒除了伴随和“蠕虫”型,其它病毒均可称为寄生型病毒,它们依附在系统的引导扇区或文件中,通过系统的功能进行传播,按其算法不同可分为:练习型病毒,病毒自身包含错误,不能进行很好的传播,例如一些病毒在调试阶段。
用批处理文件手杀木马
用批处理文件手杀木马摘要:随着计算机病毒的出现,人们除了使用正版杀毒软件可以清除病毒外,还可以手工清除病毒。
本文主要介绍使用批处理文件和注册表分析与清除某些病毒。
关键词:批处理文件注册表杀毒前言黑客攻防是每个计算机爱好者津津乐道的好题,羡慕他们也罢,贬低他们也罢,甚至辱骂也罢。
无论如何,我们都无可否认黑客已经融入我们的网络生活中。
我们如何才能真正的保证我们的计算机安全的,如何保证我们的信息不被窃取呢?当然对于一般的病毒,许多杀毒软件都可以解决。
但如果出现了新的病毒,由于杀毒软件的病毒的数据库更新的滞后性,我们的计算机的安全就得不到保证了。
那么我们又将如何解决这些问题呢?那么我们不得不学习些黑客基础的知识,比如命令提示符(批处理文件)和注册表。
1如何手动查杀木马1.1查看是否有可疑端口打开我们点击开始—>运行—>输入cmd并确定—>出现命令提示符并输入edit—>出现edit编辑器,并在窗口中输入@echo offNetstat -naPause内容完成,现在让我们将其保存在D盘的根目录下,并命名为name.bat(或name.cmd)。
之后,我们关闭所有的与网络相关的所有的应用软件,比如浏览器,QQ,迅雷,网络电视,在线音乐播放器等。
这时我们打开D盘,双击name.bat。
后出现下图:如果ForeignAddress出现了打开的端口,如上图的6001和6002,这表示我的电脑极有可能已经中了木马,并被IP地址为192.168.61.157的计算机控制或监听。
(因为这是在学校机房上上机,上方显示的IP是学校网管的服务器,当然它也采用了C/S架构,许多地方和木马具有相似之处)1.2如何寻找木马所在的位置这时我们可以借助冰刃IceSword这款软件显示木马的路径和木马名,找到该文件夹所在的经和文件名。
1.3如何确认该文件是否是木马判断一个文件是否是木马的方法很多,这里我们就介绍几种简单的方法吧1.3.1查看最后修改时间,若时间是近期,且你最近没有安装过系统软件和应用软件,大概确定这应该是木马,并且删去对你对电脑不会有危害。
Windows系统恶意软件清除方法
Windows系统恶意软件清除方法Windows系统作为全球最广泛使用的操作系统之一,不仅吸引了大量用户,也成为了恶意软件攻击的目标之一。
恶意软件可能导致系统运行缓慢、个人信息泄露等严重后果。
因此,了解清除恶意软件的方法对于用户保护计算机安全至关重要。
本文将介绍几种有效的Windows系统恶意软件清除方法。
一、常规杀毒软件常规杀毒软件可以帮助用户快速检测并清除系统中的恶意软件。
大多数安全软件提供实时保护功能,可以及时阻止恶意软件的进入。
当系统遭到恶意软件攻击后,及时运行杀毒软件进行全盘扫描,快速清除病毒是关键。
常见的杀毒软件包括卡巴斯基、诺顿等,用户可以根据自身需求选择最合适的杀毒软件进行保护。
二、安全模式清除当常规杀毒软件无法彻底清除恶意软件时,可以尝试进入安全模式进行清除。
进入安全模式后,系统将只加载最基本的驱动程序和服务,这样可以最大程度地减少恶意软件的干扰。
进入安全模式的方法有多种,通常是按下电脑开机时显示的启动画面上的“F8”或者其他指定的按键,选择进入安全模式。
在安全模式下,用户可以再次运行杀毒软件进行全盘扫描,清除恶意软件。
此外,还可以手动删除一些可疑的文件和文件夹,以确保系统的安全。
但在进行手动操作时,一定要小心谨慎,避免误删系统文件,导致系统无法正常运行。
三、系统还原系统还原是Windows系统提供的一种恢复到之前状态的功能,当系统受到恶意软件攻击时,可以通过还原系统来清除受感染的文件和配置。
系统还原会将计算机恢复到之前的某个时间点,同时清除在该时间点后新增的文件和配置。
要使用系统还原功能,用户可以按下“开始”按钮,搜索“系统还原”,然后按照提示进行操作。
在还原系统之前,建议将重要文件备份到外部存储设备,以免数据丢失。
四、专业清除工具除了常规的杀毒软件和安全模式清除外,还可以借助一些专业的恶意软件清除工具进行系统清理。
这些工具可以检测和清理那些常规杀毒软件无法处理的高级恶意软件,提供更全面的保护。
批处理清除setuprs1病毒
批处理清除setuprs1病毒.txt什么叫乐观派?这个。
就象茶壶一样,屁股被烧得红红的,还有心情吹口哨。
生活其实很简单,过了今天就是明天。
一生看一个女人是不科学的,容易看出病来。
批处理清除setuprs1病毒批处理清除setuprs1病毒文章转自:忆林子病毒产生的源文件runauto..,lsass.exe,setuprs1。
这个病毒比较特殊,因为命令提示符被病毒关联了,所以在把以下代码另存为.bat后,双击是不能运行的,请找到你自己电脑上c:\windows \system32\cmd.exe这个文件,把这个文件复制到桌面上,改名为test.exe然后双击test.exe,然后把保存的.bat文件拖到这个黑色窗口中,回车就可以了.@echo offtitle 忆林子color 0aecho ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓echo 病毒说明echo 该病毒会在C:\windows\ 目录下建立以下文件echo cmd.exe.exe,lsass.exe,setuprs1.pifecho 然后在每个盘建立autorun.inf 和runauto..文件echo autorun.inf这个文件用文本编辑器打开后的代码是echo [AutoRun]echo open=RUNAUT~1\autorun.pifecho shell\1=打开(&O)echo shell\1\Command=RUNAUT~1\autorun.pifecho shell\2\=浏览(&B)echo shell\2\Command=RUNAUT~1\autorun.pifecho shellexecute=RUNAUT~1\autorun.pifecho 这个inf文件就是用来再次引发在runauto..目录下的autorun.pifecho 这个病毒文件的,并且因为当用户用右键打开盘符时看到的第一项是echo “打开”,所以用户根本不会怀疑自己的电脑已经中了这个病毒了。
无法运行 cmd 和 regedit
问题:无法运行cmd 和regedit ,其它.bat 批处理程序也不能运行!症状:在运行框中运行“cmd" 和"regedit" 这两个程序,都打不开( 注册表不是被锁死) ,系统提示“windows 找不到文件‘ c:\windows\regedit.exe' ” 和“windows 找不到文件‘ c:\windows\cmd.exe' ” 。
每个分区根目录下有RUNAUTO.. 文件夹和AUTORUN.INF 文件,文件夹删不掉、打不开,AUTORUN.INF 文件中OPEN 命令指向RUNAUTO.. 文件夹。
注册表不能运行解决办法:(一)按引用【1 】中的方法进行了如下操作,仍然无效:“ 开始→ 运行” ,输入“Gpedit.msc” 后回车,打开“ 组策略” 。
然后,依次展开“ 用户配置→ 管理模板→ 系统” ,双击右侧窗口中的“ 阻止访问注册表编辑工具” ,在弹出的窗口中选择“ 已禁用” ,“ 确定” 后再退出“ 组策略” ,即可为注册表解锁。
(二)按引用【1 】中的办法,解决了问题:将上述文件(cmd.exe 和regedit.exe 等) 后缀改为.com ,可以执行。
但感觉不是最终办法。
(三)文献【 1 】中还提到了然后定位HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options, 删除下面的所有信息。
感觉这个方法比较武断粗暴,下面一大堆东西,都要删掉?而且看起来很多项都很“面善”,不敢轻易动这个“手术”。
通过分析,发现了问题的端倪:上述注册表选项下:有两项regedit.exe 和regedt32.exe 下面的debuger 的键值均为setuprs1.PIF ,这个家伙是病毒,早被杀毒软件干掉了!后来将其删掉,果然,cmd.exe 和regedit.exe 及regedt32.exe 均可以正常运行了。
批处理脚本自动清理Windows错误报告文件
批处理脚本自动清理Windows错误报告文件在Windows操作系统中,错误报告文件是一种记录系统和应用程序错误的日志文件,通常位于系统盘的“Windows\WER\ReportQueue”目录下。
这些错误报告文件在出现系统和应用程序崩溃时产生,以帮助开发人员进行故障排除和错误修复。
然而,这些错误报告文件会占用硬盘空间,并可能导致系统运行缓慢。
因此,使用批处理脚本自动清理这些错误报告文件是一个有效的解决方案。
下面是一个用于自动清理Windows错误报告文件的批处理脚本示例:```batch@echo offecho 正在清理Windows错误报告文件,请稍候...del /q /f /s "%systemdrive%\windows\WER\ReportQueue\*.*"echo 清理完成!```请将以上代码复制到一个新建的文本文件中,并将文件保存为`.bat`扩展名,比如`CleanErrorReports.bat`。
上述批处理脚本中使用了`del`命令来删除指定目录下的文件。
`/q`参数表示不进行确认提示;`/f`参数表示强制删除只读文件;`/s`参数表示在子目录中执行操作;`"%systemdrive%\windows\WER\ReportQueue\*.*"`表示要删除的错误报告文件的路径。
使用这个批处理脚本可以自动清理Windows错误报告文件,并在操作完成后显示清理完成的提示信息。
为了方便使用,你可以将这个批处理脚本设置为定期运行或者添加到系统启动项中。
这样,每次系统启动或者定期执行时,都会自动清理Windows错误报告文件,减少硬盘占用和提高系统性能。
总结:通过使用批处理脚本自动清理Windows错误报告文件,我们可以有效优化系统性能并释放硬盘空间。
当然,在运行该脚本之前,请确保你了解并理解脚本的功能,并在备份重要数据之后再进行操作,以防万一。
如何快速清理掉电脑病毒
如何快速清理掉电脑病毒快速清理电脑病毒防范介绍:快速清理电脑病毒方法一:建议先查杀一下木马,修复一下系统试试。
建议你下载恶意软件和木马强杀工具windows清理助手查杀恶意软件和木马:下载安装后,首先升级到最新版本,然后退出正常模式并重启按F8进入到安全模式。
打开软件,点击“系统扫描”,对扫描结果全选,然后点击“执行清理”按钮,如果软件提示你是否“备份”,选择“是”备份是为了防止发生清理错误,如果清理后系统没有发生异常,就删除备份,按提示进行操作即可软件也可以在正常模式中进行查杀。
1、开机按F8不动到高级选项出现在松手,选“最近一次的正确配置”回车修复。
2、开机按F8进入安全模式后在退出,选重启或关机在开机,就可以进入正常模式修复注册表。
3、如果故障依旧,请你用系统自带的系统还原,还原到你没有出现这次故障的时候修复或用还原软件进行系统还原。
4、如果故障依旧,使用系统盘修复,打开命令提示符输入SFC /SCANNOW 回车SFC和/之间有一个空格,插入原装系统盘修复系统,系统会自动对比修复的。
5、如果故障依旧,在BIOS中设置光驱为第一启动设备插入原装系统安装盘按R键选择“修复安装”即可。
6、如果故障依旧,建议重装操作系统。
快速清理电脑病毒方法二:360安全卫士,卡卡上网安全助手。
瑞星杀毒,360保险箱,等。
这些怎么够呢……如果你真的中毒的话杀毒软件不是万能的当你确定是病毒后,应该断网查杀,推荐你几款:Windows清理助手 AVG木马清道夫这个的话你让它杀毒要钱,查木马可以免费,但你可以重启计算机开机狂按F8进安全模式,自己手动根据上面显示的路径删除病毒。
最好你杀毒时在安全模式下杀,有的病毒正常模式下查不到的,怎么进安全模式上面写了,就是开机按F8,方向键选择安全模式,按回车就ok另外,你可以先调出任务管理器看看进程,是不是有占用率特别大的,百度一下进程的名字看看是不是病毒什么的。
我以前总是中毒,现在根本不中了,就按了个360和瑞星,备了个Windows清理助手。
使用注册表清除木马与病毒
具体 操作步骤 为: 打开 注册表 编辑器 , 窗口左 侧依 在
次 单击 展 开 [ E _ O A — C N \0 T R \ HK Y L C L MA E s F wA E HJ
改 被篡改 的键 值 , 检查 [ E — O AL MA H N 1 HK Y L C — C I E
二 、 除Acd B te yv . 清 i a t r 10
通过注册表可清 除A i B t r 1 木马 , c a eyv. d t 0 具体操
作 步骤 为 : 开 “ 行 ” 话 框 , 其 中 的 “ 开 ” 打 运 对 在 打 下
重 新启 动 电脑 。
六 、 除 B c D o 木 马 清 ako r
一
、
清除木马的常用方法
一
四、 除 E l s 0 0 清 ci e2 0 p
通 过 注 册 表 可 防止E l s 2 0 ci e 0 0木 马 的破 坏 , p 其
是 使用软件清除木马 , 用户可以在 电脑 中安装
木 马清除 大师 、 木马克 星 、 全卫 士等专业软件 , 安 通
和[ HKEY C — URRE — ER S T NT US \ OF WARE Mir sf\ \ co ot
Mi oo\idw\ur tes nR n子键, c sfwn o s r n r o\ u ] r t C eV i 若右侧窗口 中有名为 “y t 或 “ky”的键值项 , b b” css 将其删除, 操作
这 样的文件夹下, 而且 不会单 独存 在 , 很可能是有某
个 母 文件 复 制 过 来 的 , 查 C, E 盘 中 是 否有 可 检 D, 等
用自带的Windows命令查杀病毒(一)-电脑资料
用自带的Windows命令查杀病毒(一)-电脑资料上网最恐怖的事莫过于新病毒出来的时候,尽管电脑上我们都装有各种强大的杀毒软件,也配置了定时自动更新病毒库,但病毒总是要先于病毒库的更新的,所以中招的每次都不会是少数,这里列举一些通用的杀毒方法,自己亲自动手来用系统自带的工具绞杀病毒:一、自己动手前,切记有备无患――用TaskList备份系统进程新型病毒都学会了用进程来隐藏自己,所以我们最好在系统正常的时候,备份一下电脑的进程列表,当然最好在刚进入Windows时不要运行任何程序的情况下备份,样以后感觉电脑异常的时候可以通过比较进程列表,找出可能是病毒的进程,。
在命令提示符下输入:TaskList/fo:csv>g:zc.csv上述命令的作用是将当前进程列表以csv格式输出到“zc.csv”文件中,g:为你要保存到的盘,可以用Excel打开该文件.二、自己动手时,必须火眼金睛――用FC比较进程列表文件如果感觉电脑异常,或者知道最近有流行病毒,那么就有必要检查一下。
进入命令提示符下,输入下列命令:TaskList /fo:csv>g:yc.csv生成一个当前进程的yc.csv文件列表,然后输入:FC g:\zccsv g:\yc.csy回车后就可以看到前后列表文件的不同了,通过比较发现,电脑多了一个名为“Winion0n.exe”(这里以这个进程为例)不是“Winionon.exe”的异常进程。
三、进行判断时,切记证据确凿――用Netstat查看开放端口对这样的可疑进程,如何判断它是否是病毒呢?根据大部分病毒(特别是木马)会通过端口进行对外连接来传播病毒,可以查看一下端口占有情况。
在命令提示符下输入:Netstat-a-n-o参数含义如下:a:显示所有与该主机建立连接的端口信息n:显示打开端口进程PID代码o:以数字格式显示地址和端口信息回车后就可以看到所有开放端口和外部连接进程,这里一个PID 为1756(以此为例)的进程最为可疑,它的状态是“ESTABLISHED”,通过任务管理器可以知道这个进程就是“Winion0n.exe”,通过查看本机运行网络程序,可以判断这是一个非法连接!连接参数含义如下:LISTENINC:表示处于侦听状态,就是说该端口是开放的,等待连接,但还没有被连接,只有TCP协议的服务端口才能处于LISTENINC状态。
stdup.dll和STDSVER.DLL的清除办法
stdup.dll和STDSVER.DLL的清除办法电脑在中了stdup.dll和STDSVER.DLL病毒之后,有下面几个典型的症状。
如果你也有这样的情况,那么你就可能中了stdup.dll和STDSVER.DLL病毒。
1、网页打开速度突然变慢,彻底杀毒,没有发现。
再查看进程,一开始只有rundll32.exe耗cpu资源90%以上,每结束一次进程,网页打开就快些,但需要不断的结束,第一次郁闷!!后来,这个进程不见了,又出来了另外一个进程explorer.exe,耗cpu资源90%以上,结束后桌面,任务栏全无。
(后来有经验了:可以按下Ctrl+Alt+Del组合键,出现“Windows安全”对话框,单击“任务管理器”按钮,在任务管理器窗口中选中“应用程序”选项卡,单击“新任务”,在弹出的“创建新任务”的对话框中,输入你想要打开的软件的路径和名称即可。
你还可以在正在运行的软件上,选择“文件→打开”,在“打开”对话框中,点击“文件类型”下拉列表,选择“所有文件”,再浏览到你想打开的软件,右击它,在快捷菜单中选择“打开”命令,就可以启动你需要的软件了。
注意,此时不能够通过单击“打开”按钮来打开软件,此种方法适用于大多数软件,Office系列除外。
)第二次郁闷!!2、解决explorer.exe进程,怀疑有木马,下木马专杀工具,通过下载esido-guard active软件,的确发现了8个木马,但再看进程仍旧还在做怪,网页奇慢无比。
之后又下载了QQKA V专杀工具,通过点手动查杀-结束并不删除进程-再点查杀,结果再看进程explorer.exe没有了,第一次高兴!!接下来打开网页,依据慢,再看进程,rundll32.exe又来了,而且主页被篡改为:网页锦山在线----,不断出现查出病毒的通知(adware.boran感染了stdup.dll)第三次郁闷!!3、解决主页被篡改问题。
按照最原始的办法(internet-选项-常规)恢复主页不行,又通过瑞星安全助手恢复ie也不行,之后在安全模式下,彻底查杀病毒,也不行。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
批处理清除setuprs1病毒.txt什么叫乐观派?这个。
就象茶壶一样,屁股被烧得红红的,还有心情吹口哨。
生活其实很简单,过了今天就是明天。
一生看一个女人是不科学的,容易看出病来。
批处理清除setuprs1病毒批处理清除setuprs1病毒文章转自:忆林子病毒产生的源文件runauto..,lsass.exe,setuprs1。
这个病毒比较特殊,因为命令提示符被病毒关联了,所以在把以下代码另存为.bat后,双击是不能运行的,请找到你自己电脑上c:\windows \system32\cmd.exe这个文件,把这个文件复制到桌面上,改名为test.exe然后双击test.exe,然后把保存的.bat文件拖到这个黑色窗口中,回车就可以了.@echo offtitle 忆林子color 0aecho ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓echo 病毒说明echo 该病毒会在C:\windows\ 目录下建立以下文件echo cmd.exe.exe,lsass.exe,setuprs1.pifecho 然后在每个盘建立autorun.inf 和runauto..文件echo autorun.inf这个文件用文本编辑器打开后的代码是echo [AutoRun]echo open=RUNAUT~1\autorun.pifecho shell\1=打开(&O)echo shell\1\Command=RUNAUT~1\autorun.pifecho shell\2\=浏览(&B)echo shell\2\Command=RUNAUT~1\autorun.pifecho shellexecute=RUNAUT~1\autorun.pifecho 这个inf文件就是用来再次引发在runauto..目录下的autorun.pifecho 这个病毒文件的,并且因为当用户用右键打开盘符时看到的第一项是echo “打开”,所以用户根本不会怀疑自己的电脑已经中了这个病毒了。
echo 并且这个runauto..的目录是用命令建立的,因为用了“.”这个特殊的echo 字符,所以在资源管理下,是无法删除这个文件夹的。
但是本人已经把echo 删除这段代码的内容写在这里了,你将能轻易的删除这个文件夹。
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓set /p k=按回车键开始杀毒...taskkill /fi "services eq kkdc" /ftaskkill /im cmd.exe.exe /ftaskkill /im regedit.exe.exe /ftaskkill /im r.exe /fsc stop kkdcnet stop kkdcsc delete kkdcattrib -s -h -r c:\windows\cmd.exe.exeattrib -s -h -r c:\windows\lsass.exeattrib -s -h -r c:\windows\setuprs1.pifattrib -s -h -r c:\autorun.infattrib -s -h -r c:\r.exerd c:\runauto...\ /s /qdel c:\windows\cmd.exe.exe /qdel c:\windows\lsass.exe /qdel c:\windows\setuprs1.pif /qdel c:\autorun.inf /qdel c:\windows\r.exe /qreg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe" /v Debugger /freg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe" /v Debugger /freg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe" /v Debugger /freg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedt32.exe" /v Debugger /freg delete "HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_KKDC" /freg delete "HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_KKDC" /freg delete "HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_KKDC" /freg delete "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KKDC" /freg delete "HKLM\SYSTEM\ControlSet001\Services\kkdc" /freg delete "HKLM\SYSTEM\ControlSet002\Services\kkdc" /freg delete "HKLM\SYSTEM\ControlSet003\Services\kkdc" /freg delete "HKLM\SYSTEM\CurrentControlSet\Services\kkdc" /freg delete "HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\Stand ardProfile\AuthorizedApplications\List" /v C:\WINDOWS\lsass.exe /freg delete "HKLM\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\Stand ardProfile\AuthorizedApplications\List" /v C:\WINDOWS\lsass.exe /freg delete "HKLM\SYSTEM\ControlSet003\Services\SharedAccess\Parameters\FirewallPolicy\Stand ardProfile\AuthorizedApplications\List" /v C:\WINDOWS\lsass.exe /freg delete "HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\S tandardProfile\AuthorizedApplications\List" /v C:\WINDOWS\lsass.exe /freg delete"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ SHOWALL" /v CheckedValue /freg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ SHOWALL" /v CheckedValue /t reg_dword /d 1 /ffor /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\autorun.inf attrib -s -h -r %%d:\autorun.inffor /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\autorun.inf del %%d:\autorun.inf /qfor /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\autorun.inf rd %%d:\autorun.inf /s /qfor /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\runaut~1 rd %%d:\runauto...\ /s /qfor /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\autorun.inf.tmp attrib -s -h -r %%d:\autorun.inf.tmpfor /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\autorun.inf.tmp del %%d:\autorun.inf.tmp /qclsecho ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓echo 病毒清除完毕,按回车键开始解决分区无法双击打开的问题.echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓set /p test=cls@echo offtitle 忆林子--解决分区无法打开color 0aecho 例如:D盘无法打开则输入 d,你也可以echo 输入d,e,f这样来同时对d,e,f等多个分区操作.set /p input=[请输入无法打开的分区的盘符]if /i "%input%"=="c" goto :特殊for /d %%i in (%input%) do cacls %%i:\autorun.inf /c /e /p everyone:ffor /d %%i in (%input%) do attrib -s -h -r %%i:\autorun.inffor /d %%i in (%input%) do del %%i:\autorun.inf /qreg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v SVOHOST /f clsreg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ SHOWALL" /v CheckedValue /freg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ SHOWALL" /v CheckedValue /t reg_dword /d 1 /fclschkdsk %input%: /fclsset /p tmp=操作结束,按回车键退出该程序。