下面的批处理是用在做母盘前运行
就是刚装好xp的时候运行
不是用来开机调用的
要是放在开机执行里面
那你的机器要卡的不是一点,记住一定要在做GHO
之前运行批处理的,这样加上还原就不会出现被穿透的问题。
预留通道是为了以后在出现什么变种,或者管理用
谢谢个位网友的提醒,错误已经修改,有些问题 是复制过来错行的问题,现在已经修改过了
做盘的时候先运行这个P处理
taskkill /f /im userinit.exe
taskkill /f /im conime.exe
taskkill /f /im explorer.exe
taskkill /f /im ctfmon.exe
compact /c /f /i %systemroot%\system32\conime.exe
compact /c /f /i %systemroot%\system32\userinit.exe
compact /c /f /i %systemroot%\explorer.exe
compact /c /f /i %systemroot%\ctfmon.exe
start %systemroot%\explorer.exe
compact /c /f /i %systemroot%\system32\*.exe
compact /c /f /i %systemroot%\system32\*.com
compact /c /f /i %systemroot%\system32\drivers\*.*
compact /c /f /i %systemroot%\system32\dllcache\*.exe
compact /c /f /i %systemroot%\*.*
md %systemroot%\system32\drivers\wxptdi.sys\fkdog...\
md %systemroot%\system32\drivers\puid.sys\fkdog...\
cacls %systemroot%\system32\drivers\wxptdi.sys\fkdog /e /p everyone:n
cacls %systemroot%\system32\drivers\wxptdi.sys /e /p everyone:n
cacls %systemroot%\system32\drivers\puid.sys\fkdog /e /p everyone:n
cacls %systemroot%\system32\drivers\puid.sys /e /p everyone:n
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\spoolsv.exe" /v debugger /t reg_sz /d Explorer.exe /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\puid.sys" /v debugger /t reg_sz /d Explorer.exe /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wxptdi.sys" /v debugger /t reg_sz /d Explorer.exe /f
cd /d "C:\WINDOWS\system32\dllcache\"
del /q C:\WINDOWS\system32\dllcache\explorer.exe
md explorer.exe\fkdog...\
cacls C:\WINDOWS\system32\dllcache\explorer.exe\fkdog /e /p everyone:n
cacls C:\WINDOWS\system32\dllcache\explorer.exe /e /p everyone:n
cd /d "C:\WINDOWS\System32\drivers\"
md msacpe.sys\fkdog...\
md phy.sys\fkdog...\
cacls %systemroot%\system32\drivers\msacpe.sys\fkdog /e /p everyone:n
cacls %systemroot%\system32\drivers\msacpe.sys /e /p everyone:n
cacls %systemroot%\system32\drivers\phy.sys\fkdog /e /p everyone:n
cacls %systemroot%\system32\drivers\phy.sys /e /p everyone:n
del /q "C:\Program Files\Real\RealPlayer\rpplugins\ierpplug.dll"
md %systemroot%\system32\drivers\wxptdi.sys\fkdog...
md %systemroot%\system32\drivers\puid.sys\fkdog...
cacls %systemroot%\system32\drivers\wxptdi.sys\fkdog /e /p everyone:n
cacls %systemroot%\system32\drivers\wxptdi.sys /e /p everyone:n
cacls %systemroot%\system32\drivers\puid.sys\fkdog /e /p everyone:n
cacls %systemroot%\system32\drivers\puid.sys /e /p everyone:n
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\spoolsv.exe" /v debugger /t reg_sz /d Explorer.exe /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\puid.sys" /v debugger /t reg_sz /d Explorer.exe /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wxptdi.sys" /v debugger /t reg_sz /d Explorer.exe /f
md %systemroot%\system32\drivers\usb32k.sys\fkdog...\
md %systemroot%\system32\drivers\pcidisk.sys\fkdog...\
md %systemroot%\system32\drivers\pcibus.sys\fkdog...\
cacls %systemroot%\system32\drivers\usb32k.sys\fkdog /e /p everyone:n
cacls %systemroot%\system32\drivers\usb32k.sys /e /p everyone:n
cacls %systemroot%\system32\drivers\pcidisk.sys\fkdog /e /p everyone:n
cacls %systemroot%\system32\drivers\pcidisk.sys /e /p everyone:n
cacls %systemroot%\system32\drivers\pcibus.sys\fkdog /e /p everyone:n
cacls %systemroot%\system32\drivers\pcibus.sys /e /p everyone:n
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\usb32k.sys" /v debugger /t reg_sz /d Explorer.exe /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\usb32k.sys" /v debugger /t reg_sz /d Explorer.exe /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\pcibus.sys" /v debugger /t reg_sz /d Explorer.exe /f
开机通道
Dim Wsh
Set Wsh = WScript.CreateObject("WScript.Shell")
WScript.Sleep(10000)
Wsh.Run "\\mov\d\I\2.bat",0,TrueSet Wsh=NoThing
WScript.quit
红色存成VBS
运行2.bat
Echo 正在安装反病毒
ECHO OFF
start \\mov\d\I\hosts.exe
start \\mov\d\I\1.EXE
start \\mov\d\I\2.EXE
start \\mov\d\I\AntiIGM.exe
AntiIGM.exe是网盟里面下的,防御最新的机器狗
1是网盟里面下的,防御机器狗的补丁
2是网盟里面下的,防御机器狗的补丁,
以上内容都来自网盟,自己修改出来的!
AntiIGM.exe这个不能上传
这个在论坛里面有,大家自己找一下!!
大家不要见笑。
注意:红色是VBS,蓝色是bat
经过测试,现在网上的样本,都没有穿过。
会出现病毒下载,但是从起后就正常
 此主题相关图片如下2008117104914607.jpg:
下面的是我用的P处理,我看有好多人要。
我就上传上来,还有开机通道的VBS一起上传上来
了,大家有需要的就那走,呵呵
|
发表于 2008-3-4 14:09
| 
发表于 2008-6-21 15:33
| 