本文可任意转载,请务必保持文章的完整。
就 YJDel.bat 第一个版本发布两天。便感觉到应用它的局限。为了让更多计算机用户轻松修复系统,并且让用户对修复过程了如指掌。语捷公司立即更新 YJDel.bat 并发布实用技巧。文中出现恶意程序、病毒、木马等词汇都是同一含义。
复制横线以下的部分到记事本。另存为 YJDel.bat。建议存放于 C:\Windows 文件夹(C:\Windows仅作为示范)。
利用 YJDel.bat 修复过程可以看做两个阶段。
第一个阶段是不让病毒再次活跃。YJDel.bat 作用在这个阶段。
第二个阶段是恢复操作系统功能。在这里仅给出对第一个阶段的起到巩固作用的方法。操作系统有许多功能,如果被破坏,只需逐一恢复,不需重装系统。
YJDel.bat 不是自动修复程序。使用过程中需要您参与。
第一个阶段 不让病毒再次活跃
1、判断恶意程序进程和文件
按 Ctrl + Alt + Del 打开 Windows 任务管理器。在进程页中勾选显示所有用户进程。进程列中一切不熟悉的名字都可以被怀疑是恶意程序。系统应当安静时占用 CPU 时间大的进程被怀疑是恶意程序(System Idle Process 除外)。然后到搜索引擎确认一下。在命令行下使用 tasklist 命令也能列出进程表。
知道进程名后用以下命令找出文件所在位置
C:\>dir 进程名 /s /a
如果按 Ctrl + Alt + Del 不出现 Windows 任务管理器,tasklist 命令也被阻止。找文件所在位置时也被中断。那么至少可以利用启动盘重新启动到 DOS。用以下命令找找看。文件名古怪的被怀疑是恶意程序;文件的修改时间最近的被怀疑是恶意程序;鬼鬼祟祟把自己隐藏起来,有时候还把自己说成是系统属性的可执行文件很可能是恶意程序(经验表明系统一般不在 Windows 文件夹和子文件夹中存放隐藏属性的 dll exe 文件)。当然也可能是真正的系统文件,所以一定要用搜索引擎确认一下。
查找一般属性的 dll exe 文件
C:\>dir *.dll /s /oD
C:\>dir *.exe /s /oD
查找隐藏属性的 dll exe 文件
C:\>dir *.dll /s /oD /aH
C:\>dir *.exe /s /oD /aH
查找系统属性的 dll exe 文件
C:\>dir *.dll /s /oD /aS
C:\>dir *.exe /s /oD /aS
2、清除恶意程序文件
运行 YJDel.bat 需要用户已经知道病毒、木马的文件名和进程名。YJDel.bat 用在以下两种情形之一:
病毒没有活跃,已经知道它的路径和文件名。
C:\>YJDel pathfilename
病毒正在运行,已经知道它的路径、文件名和占用文件的进程名。
C:\>YJDel pathfilename proccessname
就第一种情形。便捷的方法是将 YJDel.bat 复制到磁盘的任何位置。也可以创建其快捷方式到任何位置。拖动要处理的病毒、木马文件到 YJDel.bat 图标上。即可轻松完成只带有一个文件名的操作。
针对第二种情形可在命令行下操作。建议首先运行 set path=%path%;(YJDel.bat所在目录),以便系统自动找到 YJDel.bat。
如果病毒、木马阻止您访问它所在的文件夹,或者无法结束进程,那么可用启动盘启动计算机进入到 DOS。按照第一种情形运行 YJDel.bat,因为这时没有图标,只能用命令行操作。
许多时候使用 YJDel.bat 不会一次成功。总是有残余的恶意程序未被发现。系统重启又被复制。
应对方法是建立一个巡逻文件。将已用过的命令聚在一个 .bat 文件里,任意取文件名。随时运行这个文件清除已知的病毒。更可以将它放在开始菜单的启动中,每次启动自动运行。
这个文件应当这样写:
CALL YJDel pathfilename1
CALL YJDel pathfilename2 proccessname2
...
也就是在每个曾经用过的命令前加 CALL。
第二个阶段 恢复操作系统功能
1、清理启动项目
经过 YJDel.bat 处理过的系统在重新启动进入系统时会出现若干个黑框,并且弹出 16 位应用程序错误提示。这是因为恶意程序企图在启动时自动运行,却碰到了已经被 YJDel.bat 破坏的错误格式的文件。不必担心这些错误的威胁,处理好启动项目让系统下次重启不再自动调用这些文件即可。
启动项目一般在「开始」菜单\程序\启动中和注册表的 Run 项里面。到 C:\Documents and Settings 里寻找开始菜单文件夹。在注册表中搜索 Run 项。
注册表编辑器无法打开怎么办?
复制编辑器文件。如 regedit.exe 复制一个名为 “复件 regedit.exe”。运行复制的文件。
2、清理 Image File Execution Options 注册表项
成功打开注册表编辑器后展开 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 项。如果子项太多没办法辨别就一个接一个全部删除。不是病毒创建的项也被删除,等待使用正常软件的过程中自动恢复。
只要删除了 regedit.exe 子项就可解决注册表编辑器无法打开的问题。
3、清理系统服务
这是修复过程中比较危险的操作,一定要有把握再进行。在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 项中有很多子项。它们都关联着系统服务。病毒、木马也会利用系统服务的启动方式自动运行。在这里搜索已知的病毒进程名,发现后直接删掉包含它的子项即可。
------------------------------------------------------------------------------------------------
@echo YJDel.bat is create by Wu Xiang, Yujiesoft(www.yujiesoft.com) 2007-11-08 yyyy-mm-dd. Version 1.0.2
@echo off
rem
rem YJDel.bat 的作用是破坏病毒或木马文件,并占用文件名使病毒或木马不再以相同的文件名出现。在破坏病毒、木马文件之前。如果文件正在被使用,那么 YJDel.bat 会首先终止使用文件的进程,然后立即抢在病毒、木马程序自动重新运行之前修改文件。
rem
rem 运行 YJDel.bat 需要用户已经知道病毒、木马的文件名和进程名。YJDel.bat 用在以下两种情形之一:
rem
rem 病毒没有活跃,已经知道它的路径和文件名。
rem C:\>YJDel pathfilename
rem
rem 病毒正在运行,已经知道它的路径、文件名和占用文件的进程名。
rem C:\>YJDel pathfilename proccessname
rem
rem 就第一种情形。便捷的方法是将 YJDel.bat 复制到磁盘的任何位置。也可以创建其快捷方式到任何位置。拖动要处理的病毒、木马文件到 YJDel.bat 图标上。即可轻松完成只带有一个文件名的操作。
rem 针对第二种情形可在命令行下操作。建议首先运行 set path=%path%;(YJDel.bat所在目录),以便系统自动找到 YJDel.bat。
rem 如果病毒、木马阻止您访问它所在的文件夹,或者无法结束进程,那么可用启动盘启动计算机进入到 DOS。按照第一种情形运行 YJDel.bat,因为这时没有图标,只能用命令行操作。
rem
rem 许多时候使用 YJDel.bat 不会一次成功。总是有残余的恶意程序未被发现。系统重启又被复制。
rem 应对方法是建立一个巡逻文件。将已用过的命令聚在一个 .bat 文件里,任意取文件名。随时运行这个文件清除已知的病毒。更可以将它放在开始菜单的启动中,每次启动自动运行。
rem 这个文件应当这样写:
rem CALL YJDel pathfilename1
rem CALL YJDel pathfilename2 proccessname2
rem ...
rem 也就是在每个曾经用过的命令前加 CALL。
IF {%2}=={} GOTO DELE
taskkill /IM %2 /F /T
:DELE
IF {%1}=={} GOTO END
attrib -s -h -r %1
del %1
echo 您已经用 Yujiesoft(www.yujiesoft.com) YJDel.bat 改变了当前文件。如果这个文件曾经是病毒、木马文件,那么请不要删除。占用这个文件名阻止病毒、木马再以相同的文件名出现。如果您误操作改变了重要的系统文件,请删除当前文件,使系统自动或通过其他途径修复文件。>> %1
attrib +r %1
:END