免疫机器狗的另类办法(可参考免疫其它难缠病毒)
<H2>免疫机器狗的另类办法(可参考免疫其它难缠病毒)</H2><DIV class=t_msgfont id=postmessage_3980339>其实这个原理就是利用BAT文件的转换加载修改为其他文件名后的userinit.exe文件,这样机器通过修改userinit.exe来加载破坏的目的就不能够达到了。第二个BAT文件则是锁定system32文件夹,不可写入名为userinit.exe的文件。接下来我们来看看步骤吧:<BR>1、首先复制个无毒的userinit.exe文件,文件重命名为kill.exe(文件名可以任意取),到系统system32下。<BR>2、修改注册表键值,将userinit.exe改为userinit.bat。内容如下:<BR> <BR> Windows Registry Editor Version 5.00<BR> [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]<BR> "Userinit"="C:\WINDOWS\system32\userinit.bat,"<BR><BR><IMG alt="" src="http://www.killdu.cn/uploads/allimg/080620/1210341.jpg" onload="attachimg(this, 'load')" border=0><BR>3、建立转换起用userinint.exe作用的BAT<BR>代码原理解释为:下面红色的解释部分需要删除掉。<BR>@echo off<BR><FONT color=#ff0000>解释:直接复制系统system32下的无毒userinit.exe为kill.exe</FONT><BR>cd /d %SystemRoot%system32<BR>copy /y userinit.exe kill.exe >nul<BR><FONT color=#ff0000>解释:创建userinit.bat</FONT><BR>echo @echo off >>userinit.bat<BR>echo start kill.exe >>userinit.bat<BR><FONT color=#ff0000>解释:删除自身</FONT><BR>del /f /q %0<BR><BR>如果不想看上面的代码原理解释可直接复制下面的代码 <BR>复制内容到剪贴板 代码:<FONT face="NSimsun "><FONT color=#0000ff>@echo off<BR>cd /d %SystemRoot%system32<BR>copy /y userinit.exe kill.exe >nul<BR>echo @echo off >>userinit.bat<BR>echo start kill.exe >>userinit.bat<BR>del /f /q %0</FONT></FONT><BR>将以上代码粘贴进记事本,保存为kill.bat。并运行。<BR>4、上面的方法是用批处理重新定向了userini.exe文件的位置,换了一个文件名,并且用一个批处理调用它来启动。下面的代码就是锁定system32文件夹,让不能写入userini.exe为文件名的文件。 <BR>复制内容到剪贴板 <BR>代码:<FONT face="NSimsun "><FONT color=#0000ff>@echo off<BR>set nobird=userinit.exe<BR>set /p nobird=userinit.exe<BR>echo.<BR>set paths=C:\WINDOWS\system32<BR>echo 已完成 0%%<BR>for %%a in (%paths%) do If Exist "%%a\%nobird%" (cacls "%%a\%nobird%" /c /e /R administrators & cacls "%%a\%nobird%" /c /e /R everyone & cacls "%%a\%nobird%" /c /e /R system & cacls "%%a\%nobird%" /c /e /R users & cacls "%%a\%nobird%" /c /e /P everyone:F & cacls "%%a\%nobird%" /c /e /P administrator:F & del "%%a\%nobird%" /a/f/q & rd "%%a\%nobird%" /s/q) >nul 2>nul<BR>echo 已完成50%%<BR>for %%a in (%paths%) do If NOT Exist "%%a\%nobird%" (mkdir "%%a\%nobird%" && @attrib +s +r +h "%%a\%nobird%" & echo [.ShellClassInfo]>"%%a\%nobird%\Desktop.ini" & echo IconFile=%SystemRoot%\system32\SHELL32.dll>>"%%a\%nobird%\Desktop.ini" & echo IconIndex=131>>"%%a\%nobird%\Desktop.ini" & @attrib +s +r +h "%%a\%nobird%\Desktop.ini" & mkdir "%%a\%nobird%\nobird免疫目录禁止删除!..\" & cacls "%%a\%nobird%" /c /e /R administrators & cacls "%%a\%nobird%" /c /e /R everyone & cacls "%%a\%nobird%" /c /e /P Authenticated Users:N & cacls "%%a\%nobird%" /c /e /R system & cacls "%%a\%nobird%" /c /e /R users & cacls "%%a\%nobird%" /c /e /P everyone:N & cacls "%%a\%nobird%" /c /e /P administrator:N) >nul 2>nul && ECHO --正在处理 %%a<BR>echo 已完成100%%<BR>echo.<BR>echo OK!userinit.exe已免疫,按任意键退出<BR>pause>nul<BR>exit</FONT></FONT><BR><FONT face="NSimsun "></FONT><BR>把以上代码粘贴进记事本,保存为scokuser.bat到c:/windows/system32文件夹下面(如果你的系统不是安装在C盘,请保存到系统盘的windows/system32文件夹下)。并运行即可</DIV> 前两天刚中这个病毒,谢谢楼主了。
页:
[1]