[原创[2月11日更新]注册表限制威金、熊猫、金猪病毒的运行

6618 · 发表于 2007-2-9 06:51:43

熊猫等专杀一大堆，这个东东有什么特色呢？这是本人摸索了几天编写的一个批处理文件，网上是绝对找不到的，其主要原理是在注册表中限制熊猫、威金、金猪等主程序的运行，目前阻止：FuckJacks.exe、spcolsv.exe、spoclsv.exe、sppoolsv.exe、suchost.exe、Logo1_.exe、0Sy.exe、1Sy.exe、2Sy.exe、3Sy.exe、4Sy.exe、5Sy.exe、6Sy.exe、EXP10RER.com、EXP10RER.exe、EXPl0RER.exe、vipbkv.exe、rose.exe、sxs.exe......等病毒文件的运行。
运行这个批处理后，这些病毒可执行文件将不能运行。就算已感染了病毒，且病毒正在运行，那也没关系，运行这个批处理后，重启电脑，这些病毒程序将不能运行。
我是不是在吹牛？试试就知道！

这个批处理的内容如下：我提供的目前来说应是一种新的免疫方法，注意不要把系统进程比如LSASS.EXE等加进去，否则重启电脑后连系统都进不了。这个批处理不再更新，由namejm朋友精简了代码，核心代码就只有两条 for 语句，可以适应系统分区不在C盘的情况。请和附件中的 list.ini 配套使用，有需要的朋友可自行更新，把病毒的可执行程序加进list.ini去就行了：
在此感谢namejm朋友！

@echo off
mode con cols=84 lines=21
title 注册表限制威金、熊猫、金猪病毒运行
color 4f
cls
echo.
echo.
echo 注册表限制威金、熊猫、金猪病毒的运行 for /XP
echo -----------------------------------------------------------------
echo.
echo 此批处理可以限制2007年2月9日前的威金、熊猫、金猪病毒的运行。
echo 比如运行一个SETUP.EXE的熊猫病毒，该病毒会生成c:\WINDOWS\SYTEM32\
echo FuckJacks.exe，由于我限制了FuckJacks.exe的运行，所以不管怎么双击
echo 运行SETUP.EXE，都不能成功运行病毒c:\WINDOWS\SYTEM32\FuckJacks.exe
echo 因而病毒也就起不了作用，等于废了。
echo.
echo 6618 2007年2月10日
echo Modified by JM 07年2月11日
echo.
echo [F] 按 F 键进行注册表限制
echo [U] 按 U 键解除注册表限制
echo [Q] 按其他任意键退出
echo -----------------------------------------------------------------
echo.
set route=HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
SET Choice=
SET /P Choice= 请选择要进行的操作：
IF /I '%Choice:~0,1%'=='f' GOTO fix
IF /I '%Choice:~0,1%'=='u' GOTO unfix
exit
:fix
echo.
echo 正在进行免疫操作，请稍侯...
:: 下一句中的 "全盘禁止运行%%i" 可以替换成任意的字符，都能起到全盘禁止运行指定exe的效果
for /f %%i in (list.ini) do (
reg add "%route%\%%i" /v Debugger /t REG_SZ /d 全盘禁止运行%%i /f >nul 2>nul
)
cls
for %%i in (c d e f g h i j k l m n o p q r s t u v w x y z) do del /a /f /q %%i:\autorun.inf 2>nul
cls
echo.&echo.&echo.&echo.&echo.
echo 已在注册表中限制威金、熊猫、金猪病毒的运行。
echo.
echo 如果已中了此类病毒，运行这个批处理后，请
echo.
echo 重启电脑进行杀毒。
echo.
echo 感谢使用，按任意键退出...
pause>nul
exit
:unfix
echo.
echo 正在解除限制，请稍侯...
for /f %%i in (list.ini) do reg delete "%route%\%%i" /f >nul 2>nul
cls
echo.&echo.&echo.&echo.&echo.&echo.&echo.
echo 已解除注册表中对熊猫、威金、金猪病毒的制限。
echo.
echo 感谢使用，按任意键退出...
pause>nul

复制代码

[ 本帖最后由 6618 于 2007-4-30 09:05 AM 编辑 ]

xdg3669 · 发表于 2007-2-9 07:38:59

支持！一种免疫好方法！收下。

lcy163 · 发表于 2007-2-9 08:45:02

果然是好东西

barton · 发表于 2007-2-9 08:55:57

强。。。。。

谢谢

6618 · 发表于 2007-2-9 09:23:57

多谢各位朋友的支持，我也顶一帖，如果在使用的过程中发现什么问题，欢迎跟帖，发现新的病毒变种也欢迎跟帖，谢谢！

barton · 发表于 2007-2-9 09:30:19

如果有新的变种出现，可能还需要适当的更新。。。

maoyefeng · 发表于 2007-2-9 12:15:50

听起来很强，下去测试下。新方法啊。谢谢顶起大家测试。

lightpeter · 发表于 2007-2-9 13:07:15

是個好方法,我做過類似的東西.
我有個防止U盤感染自動運行性病毒的方法.在U盤根目錄下,放名稱分別為setup.exe,sxs.exe,autorun.inf的文件夾設置為自瀆隱藏屬性,熊貓燒香等病毒都無法入侵了.我是每個分區根目錄都有的.

6618 · 发表于 2007-2-9 14:21:00

原帖由 barton 于 2007-2-9 09:30 AM 发表
如果有新的变种出现，可能还需要适当的更新。。。

的确是这样的，同时由于我手头上的威金病毒的样本不多，对威金病毒限制得可能还不够好，熊猫病毒的样本我就收集得比较多，熊猫病毒不出新变种的话，估计用了这个批处理后，2月9日前的都是运行不了的。

6618 · 发表于 2007-2-9 14:22:11

原帖由 maoyefeng 于 2007-2-9 12:15 PM 发表
听起来很强，下去测试下。新方法啊。谢谢顶起大家测试。

多谢你的测试，如果可能，最好能反馈一下结果，让我更好的改进，谢谢！

xdlys · 发表于 2007-2-9 14:27:30

强，下一个，谢谢!!!

learner · 发表于 2007-2-9 15:08:12

被诺顿给杀了，提示有如下病毒：Trojan Horse
请6618版主检查一下顶楼的文件

sunspot2004 · 发表于 2007-2-9 15:12:32

这个是个不错的办法
感谢lz提供
ps. 注册表中禁止运行程序是怎么操作的?
lz的方法貌似和网上常见的不一样
其实网上的所谓一键通关只是组策略罢了

[ 本帖最后由 sunspot2004 于 2007-2-9 03:16 PM 编辑 ]

l2000 · 发表于 2007-2-9 15:38:33

这个软件好，我收藏了，谢谢

6618 · 发表于 2007-2-9 16:48:33

原帖由 learner 于 2007-2-9 03:08 PM 发表
被诺顿给杀了，提示有如下病毒：Trojan Horse
请6618版主检查一下顶楼的文件

是诺顿误报了。这是一个批处理文件，我用工具把它转为了EXE再把扩展名改了BAT的。

6618 · 发表于 2007-2-9 16:53:04

原帖由 sunspot2004 于 2007-2-9 03:12 PM 发表
这个是个不错的办法
感谢lz提供
ps. 注册表中禁止运行程序是怎么操作的?
lz的方法貌似和网上常见的不一样
其实网上的所谓一键通关只是组策略罢了

呵呵，我是用QUICK BATCH FILE把这个批处理转成EXE的，如何看原批理处，就考考朋友你了。

jianch · 发表于 2007-2-9 17:18:12

不错的
支持个

dgxhls · 发表于 2007-2-9 18:54:19

不错，加点味精。

namejm · 发表于 2007-2-9 19:08:45

　　呵呵，我来提点意见：
　　1、shift 1 这一句用意何在，暂时还不明白，似乎应写成 shift /1 才对，但是这样却有多此一举之嫌；
　　2、代码还可以大为精简，比如重定向到 fix.reg 的语句，可以用括号把要 echo 的内容括起来，然后一次性重定向到reg文件中去；其实，也可以直接操作注册表，而无须生成临时文件；
　　3、删除 autorun.inf 文件，可以不对文件属性进行操作，直接用 del /a /f /q %%a:\autorun.inf 就够了；
　　4、@ 还可以减少若干个。

lxl1638 · 发表于 2007-2-9 19:13:00

原帖由 6618 于 2007-2-9 04:53 PM 发表

呵呵，我是用QUICK BATCH FILE把这个批处理转成EXE的，如何看原批理处，就考考朋友你了。

找老毛就是了，他搞批处理是能手。
QUICK BATCH FILE好象是Delphi做的，QUICK BATCH FILE将批处理转成的EXE有Delphi的资源特征。

namejm · 发表于 2007-2-9 19:33:04

　　在 %tmp% 目录下查找隐藏属性的 bt+数字.bat 为名的文件就是了:)

fw85 · 发表于 2007-2-9 19:49:56

楼主强人！！！支持楼主，呵呵，下载来用下试试。

xiaoy · 发表于 2007-2-9 20:14:10

免疫后基本上的DOS程序都不能使用了

6618 · 发表于 2007-2-9 20:22:51

原帖由 namejm 于 2007-2-9 07:08 PM 发表
　　呵呵，我来提点意见：
　呵呵，我来提点意见：
　　1、shift 1 这一句用意何在，暂时还不明白，似乎应写成 shift /1 才对，但是这样却有多此一举之嫌；
　　2、代码还可以大为精简，比如重定向到 fix.reg 的语句，可以用括号把要 echo 的内容括起来，然后一次性重定向到reg文件中去；其实，也可以直接操作注册表，而无须生成临时文件；
　　3、删除 autorun.inf 文件，可以不对文件属性进行操作，直接用 del /a /f /q %%a:\autorun.inf 就够了；
　　4、@ 还可以减少若干个。

我再试了一下，shift 1是用QUICK BATCH FILE转为EXE时自动生成的。后面的三点说的有理。

6618 · 发表于 2007-2-9 20:27:10

原帖由 xiaoy 于 2007-2-9 08:14 PM 发表
免疫后基本上的DOS程序都不能使用了

这是不太可能的。我没有免疫DOS程序的，你是不是用了其它的免疫？能否帖一张图上来？我在自己家的电脑限制后，DOS和平时一样的使用啊。

longines · 发表于 2007-2-9 20:42:21

下了看看！！！支持个！！！

semirmyway · 发表于 2007-2-9 21:09:50

多谢楼主。。楼主有点像是养马和养毒的。呵呵。。开个玩笑！！

xiaoy · 发表于 2007-2-9 21:26:52

我说的是DOS类的应用程序不是DOS命令和批处理
比如Qbwin 编译生成的EXE文件，包括QBWIN也不能运行了

zytlinux · 发表于 2007-2-9 22:55:58

能不能直接共享一下原批处理文件，可以让我们这些小菜学习一下啊

鹤冲天 · 发表于 2007-2-10 00:40:16

原帖由 namejm 于 2007-2-9 07:08 PM 发表
　　也可以直接操作注册表，而无须生成临时文件

用reg add命令无法在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下添加“项”啊！

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options" /v 123654.dll

复制代码

这样可以在“Image File Execution Options”项下添加一个值！

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ASSTE.dll" /v 123654.dll

复制代码

这样也可以在它现成的子项中添加一个值！“ASSTE.dll”为系统自代的子项！

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\123654.dll" /v 123654.dll

复制代码

这样就不行！！“123654.dll”这个自己要建立个子项就不行！！提示成功但并没有写进去！
何解？？？

[ 本帖最后由鹤冲天于 2007-2-10 12:41 AM 编辑 ]

		自动登录	找回密码
密码			注册

[原创[2月11日更新]注册表限制威金、熊猫、金猪病毒的运行

点评

浏览过的版块