[原创[2月11日更新]注册表限制威金、熊猫、金猪病毒的运行

kangyi

另外在这里问一下6618，如果有病毒首先判断根目录是否有auturun.inf文件夹（有则删之）然后再复制自己的auturun.inf文件怎么办（这个判断只执行一次）
貌似在U盘根目录建一个auturun.inf文件夹效果有限，而且这个文件夹占用4K的空间，对本来就十分狭小的U盘是个不小的浪费：）

namejm

　　58楼的代码增添了删除每个分区下的 autorun.inf 文件的功能，请6618版主更新一下顶楼的代码。

6618

原帖由 kangyi 于 2007-2-11 09:31 PM 发表
另外在这里问一下6618，如果有病毒首先判断根目录是否有auturun.inf文件夹（有则删之）然后再复制自己的auturun.inf文件怎么办（这个判断只执行一次）
貌似在U盘根目录建一个auturun.inf文件夹效果有限，而且这个 ...

这个批处理不是用这种方法免疫的。

6618

原帖由 namejm 于 2007-2-11 10:16 PM 发表
　　58楼的代码增添了删除每个分区下的 autorun.inf 文件的功能，请6618版主更新一下顶楼的代码。

好的，连代码和附件中的文件一并更新了，同时在LIST.INI中加入了更多的病毒程序，包括近几天开始流行的CTFNOM.EXE、IIS.EXE病毒。

kangyi

这个我知道，我是用regsnap看的您那个批处理对注册表做的改动的，我是说这里不是有朋友说在U盘根目录建个autorun.inf就可防止U盘病毒侵扰吗，我是问一下这种做法到底有多大程度的作用（不过我在一个病毒成灾的王八试过了，是那个sxs病毒，在U盘跟目录建个autorun.inf文件夹果然有效

6618

我一般都不这样做，如果做就建一个常规下删不掉的，同时我觉得较碍眼——个人意见。

6618

to namejm朋友:
set route2=%systemroot%\%%i;%systemroot%\system32\%%i;%systemroot%\system32\wbem\%%i
似乎只是这样就行了:
set route2=%systemroot%\system32\%%i
这样的生成的注册表文件小一点点，运行病毒程序这样提错（图1），第一段代码则这样提错（图2）：

[ 本帖最后由 6618 于 2007-2-11 11:11 PM 编辑 ]

6618

原帖由 namejm 于 2007-2-11 10:32 AM 发表
　　又对比了一下6618的原代码，发现少了个删除每个分区下 autorun.inf 文件的功能，现在添加了一条 for 语句搞定，从而使得核心代码变成了三条 for 语句。

我为什么要加上删除各分区的autorun.inf呢？我是这样想的，当某朋友中毒后，比如在各个分区下生成了sxs.exe和autorun.inf，由于限制了sxs.exe的运行，这个sxs.exe肯定运行不了的，这时一双击分区时由于autorun.inf的原因，马上就提错（类似上图的错），相当烦的，所以一并把autorun.inf删了，就不会留下这样的后患了。

[ 本帖最后由 6618 于 2007-2-11 11:34 PM 编辑 ]

鹤冲天

原帖由 6618 于 2007-2-11 11:09 PM 发表
to namejm朋友:
set route2=%systemroot%\%%i;%systemroot%\system32\%%i;%systemroot%\system32\wbem\%%i
似乎只是这样就行了:
set route2=%systemroot%\system32\%%i
这样的生成的注册表文件小一点点，运行 ...

这个值的内容无所谓！图一是我注册表中的键值，图二是出错提示！
在有你图二的出错提示，好像是说语法错误！我认为有可能真是语法错误引起的！这个我是猜的！希望高手来解答这个问题！

鹤冲天

原帖由 超无限 于 2007-2-11 09:42 AM 发表
要是系统在D盘或其它盘符呢？这个还能用吗？？

好像都定义在C盘嘛。

通杀！！

tianma

好好，这就仔细看看。

namejm

原帖由 6618 于 2007-2-11 11:09 PM 发表
to namejm朋友:
set route2=%systemroot%\%%i;%systemroot%\system32\%%i;%systemroot%\system32\wbem\%%i
似乎只是这样就行了:
set route2=%systemroot%\system32\%%i
这样的生成的注册表文件小一点点，

原帖由 鹤冲天 于 2007-2-12 02:37 AM 发表
这个值的内容无所谓！图一是我注册表中的键值，图二是出错提示！
在有你图二的出错提示，好像是说语法错误！我认为有可能真是语法错误引起的！这个我是猜的！希望高手来解答这个问题！

　　我对注册表不熟悉，之所以把 route2 设置成三个路径，是因为我发现 6618 兄最开始的注册表路径出现了三者之一，而批处理无法智能地判断哪个程序对应哪个路径，就把三个路径都写全了，免得有漏网之鱼，如果像 鹤冲天 兄说的那样，这个值的内容无所谓的话，那就太好了。

鹤冲天

原帖由 namejm 于 2007-2-12 10:38 AM 发表
我对注册表不熟悉，之所以把 route2 设置成三个路径，是因为我发现 6618 兄最开始的注册表路径出现了三者之一，而批处理无法智能地判断哪个程序对应哪个路径，就把三个路径都写全了，免得有漏网之鱼，如果像 鹤冲天 兄说的那样，这个值的内容无所谓的话，那就太好了。  

没问题，只要不是空的就管用！！那怕是空格！

namejm

　　呵呵，还真是那么回事啊，根本不管路径是否对应，全盘禁止运行呢，太强悍了，58楼的代码已经更新，麻烦6618把顶楼的也更新一下。

6618

原帖由 namejm 于 2007-2-12 11:14 AM 发表
　　呵呵，还真是那么回事啊，根本不管路径是否对应，全盘禁止运行呢，太强悍了，58楼的代码已经更新，麻烦6618把顶楼的也更新一下。

好的，1楼的代码已更新。附件中之前我已改成了set route2=%systemroot%\system32\%%i，这次没更新附件，如果想改成别的内容的朋友可自行更新，set route2=%systemroot%\system32\%%i我已实机测试了很多次的，效果非常好，更新成其他内容也是一样的，我没实机测试，各位朋友可以试试，限制的病毒主程序也可以自行手动更新，直接加到LIST.INI中即可。

[ 本帖最后由 6618 于 2007-2-12 03:07 PM 编辑 ]

kangyi

顺便问一下6618有什么软件可以做到更改这个注册肢呢,我相信那些网吧的网管没那个本事,他们只是熟练使用GHOST和一些软件而已

另外,您的这个免疫方法是针对病毒名下手的,但病毒名不可能是一成不变的吧

还有,不知道为什么竟然限制msiexec的运行(导致巨多合法软件无法安装!),不知道那些人是不是吃错药了,想问的是,是否也有病毒是通过调用msiexec来发作的呢?

namejm

　　顶楼张贴出来的代码中，两处是 route1，一处是 %route%，没有统一起来，看来 6618 大意了哈。建议把代码用 [code] 和 [/code] 括起来，方便别人复制。

6618

原帖由 kangyi 于 2007-2-12 04:20 PM 发表
顺便问一下6618有什么软件可以做到更改这个注册肢呢,我相信那些网吧的网管没那个本事,他们只是熟练使用GHOST和一些软件而已

另外,您的这个免疫方法是针对病毒名下手的,但病毒名不可能是一成不变的吧

还有,不知道为什么竟然限制msiexec的运行(导致巨多合法软件无法安装!),不知道那些人是不是吃错药了,想问的是,是否也有病毒是通过调用msiexec来发作的呢?  

没有限制msiexec运行啊，如果发现有软件装不了，可解除限制再装。

[ 本帖最后由 6618 于 2007-2-12 05:45 PM 编辑 ]

6618

原帖由 namejm 于 2007-2-12 04:57 PM 发表
　　顶楼张贴出来的代码中，两处是 route1，一处是 %route%，没有统一起来，看来 6618 大意了哈。建议把代码用  和  括起来，方便别人复制。

确实是我大意了，多谢朋友你提醒，已修正，并加上CODE.

沙漠之子

原帖由 6618 于 2007-2-10 11:14 PM 发表

呵呵，目前还没有病毒直接删除这个键，因而现在还能用。另，就算删了，一运行这个批处理，又写回去了。

如果有病毒将该键值的权限改了,reg命令就不能对该值进行修改的说

不是画儿

感谢版主的无私奉献哦

oicqgood

看来不错，相信以后用得上

6618

原帖由 沙漠之子 于 2007-2-12 08:03 PM 发表

如果有病毒将该键值的权限改了,reg命令就不能对该值进行修改的说

在导入完注册表限制以后，我们也可以先修改其权限，让病毒无法改，不过个人觉得现在还没必要这样做。

fu398

谢谢！真正的及时雨，使用后一定会反馈结果。

cgn

果然是好东西 .........

dec017

加油!大大

svcd2008

强，下一个，谢谢!!!

chowyu

果然是好东西

915

果然是好东西，请问支持Win2003SP1/R2？

jxwxf

不错，谢谢楼主分享