精华内容
下载资源
问答
  • CMT.exe病毒专杀工具,病毒专杀

    热门讨论 2012-03-09 17:56:15
    本人亲身感觉到这病毒的厉害,重装系统都杀不掉,格式化所有的磁盘还是杀不掉!后来弄到了这个专杀工具,才搞定!兄弟们,当你看到这个资源,恭喜你的电脑有救了!
  • rose专杀

    2006-05-31 00:00:00
    1.打开的电脑,点"工具"-->"文件夹选项"-->"查看",在"高级选项"里,把"隐藏受保护的操作系统文件(推荐)"一项前面的勾号去掉,并将"隐藏文件和文件夹"下属栏中选中"显示所有文件和文件夹". --------此操作为了打开隐藏...
  • 网站木马专杀工具

    2013-07-13 18:05:14
    自己网站一直在用的网站木马专杀工具 www.bfaft.net 【V3.0 新增功能】 1、再次优化内核算法,比2.X版本查杀效率提高50%以上,节省您的时间; 2、增加对组合木马的查杀,如在图片文件中镶嵌一句话木马等。 ----...
  • LoveGate专杀工具

    千次阅读 2005-01-08 13:27:00
    昨天家里的计算机中病毒,系统的EXE文件几乎全部变成隐藏文件,然后生成同名病毒。好可恶啊。到网上查了资料,再改了改,写成以下程序(批处理),运行,半小时就将病毒搞定了,5万多个啊。 @echo off echo ...

    昨天我家里的计算机中病毒,系统的EXE文件几乎全部变成隐藏文件,然后生成同名病毒。<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

    好可恶啊。

    到网上查了资料,再改了改,写成以下程序(批处理),运行,半小时就将病毒搞定了,5万多个啊。

     

    @echo off

    echo LoveGate”专杀工具 Modify By 踏雪无痕

    echo

    echo 请在安全模式和Dos模式下运行

    pause

    echo

    pause

    cd /d %windir%/system

    for %%i in (msjdbc11.dll,mssign30.dll,kernel66.dll,odbc16.dll) do del /s /q /a:rh %%i

    for %%i in (hxdef.exe,ravmond.exe,iexplore.exe,netmeeting.exe,spollsv.exe) do del /s /q /a:rh %%i

    for %%i in (autorun.inf,command.exe) do del /s /q /a:rh %%i

    cd/

    for %%i in (letter.rar,install.rar,pass.rar,setup.rar,work.rar,bak.rar) do del /q %%i

    for %%i in (letter.zip,install.zip,pass.zip,setup.zip,work.zip,bak.zip) do del /q %%i

    echo

    pause

    net share media /del

    echo

    pause

    echo Windows Registry Editor Version 5.00 >> tmp.reg

    echo. >> tmp.reg

    echo [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run] >> tmp.reg

    echo "Hardware Profile"=- >> tmp.reg

    echo "Microsoft NetMeeting Associates, Inc."=- >> tmp.reg

    echo "VFW Encoder/Decoder Settings"=- >> tmp.reg

    echo "Shell Extension"=- >> tmp.reg

    echo "Protected Storage"=- >> tmp.reg

    echo "Program In Windows"=- >> tmp.reg

    echo "BIE"=- >> tmp.reg

    echo. >> tmp.reg

    echo [-HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/unServices] >> tmp.reg

    echo. >> tmp.reg

    echo [-HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services_reg] >> tmp.reg

    echo. >> tmp.reg

    echo [-HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Windows]>> tmp.reg

    echo. >> tmp.reg

    regedit /s tmp.reg

    del tmp.reg

    echo

    pause

    attrib -s -h -r *.zmx /s

    @dir /b /s *.zmx>zmx_file.txt

    @for /f "delims==" %%a in (zmx_file.txt) do ren "%%a" *.exe

    @del zmx_file.txt

    echo 清除恢复成功,将程序复制到到其它盘运行

    pause

     

    展开全文
  • 自己编写的文件夹病毒专杀工具,那个文件夹病毒没有什么大的危害,只是会把文件属性改为系统隐藏,不知道的人以为东西丢失了,也曾被病毒整过所以才想写这么个东西,当然不是专业人士,一切从头开始,这个算是...
  •  专杀工具功能说明 因为这次是一个U盘病毒,所以打算把这次的专杀工具换一种形式实现。不再像前几次那样需要被动运行,而是当我们的专杀工具执行后,一旦有U盘插入,就能主动检测U盘内容,如果发现病毒,就将其...

    前言

           经过前几次的讨论,我们对于这次的U盘病毒已经有了一定的了解,那么这次我们就依据病毒的行为特征,来编写针对于这次U盘病毒的专杀工具。

     

    专杀工具功能说明

           因为这次是一个U盘病毒,所以我打算把这次的专杀工具换一种形式实现。不再像前几次那样需要被动运行,而是当我们的专杀工具执行后,一旦有U盘插入,就能主动检测U盘内容,如果发现病毒,就将其删除掉,之后检查系统中是否也存在病毒,如果有,也一并清理干净。我们这次的专杀工具需要实现以下几个功能:

           1、专杀工具开启后,需要时刻监测是否有U盘插入,如果有,则启动检测机制。

           这里可以使用OnDeviceChange()这个消息响应函数,从而对当前系统中新添加的设备进行实时监控,并且通过对这个函数的参数具体内容的判断,就可以实现U盘的监控。

           2、查找U盘中是否存在autorun.inf文件,如果有,则解析该文件中的“open”语句后的内容,获取自启动病毒程序的名称。

           解析autorun.inf文件的内容,可以使用GetPrivateProfileString()这个函数,通过它,先找到“AutoRun”区段,之后找到该区段下“open”后面的内容,就能够获取自启动的病毒程序的名称。

           3、删除autorun.inf文件以及它所要打开的程序(Recycle.exe)。

           首先应当计算Recycle.exe的CRC32指纹特征码,保存为全局变量,用于之后病毒程序的匹配。由于病毒创建出来的程序具有系统以及隐藏属性,因此在删除之前,应当先将病毒程序的文件属性设置为NORMAL(普通),这可以通过SetFileAttributes()函数实现。之后再利用DeleteFile()将病毒程序删除。

           4、全盘搜索U盘中的exe程序,进行CRC32指纹匹配,删除所有病毒程序,并恢复被隐藏的文件夹。

           依据上面计算出的病毒程序的CRC32值,就可以对U盘根目录盘中的所有exe文件进行匹配。毕竟病毒程序本体是没有变化的,只不过是换了一个名称而已。另外,病毒还会将与病毒同名文件夹进行隐藏,由于我们并没有分析过病毒是如何选取这些文件夹的(其实也没必要分析),因此我们只能通过病毒名称来查找被隐藏的文件夹,之后将其属性设置为NORMAL,那么文件夹也就恢复了。

           5、解析本地系统的注册表启动项,找到病毒程序的名称以及隐藏位置。

           在删除本地系统中的病毒程序之前,我们需要先结束掉病毒进程。由于病毒的名称是依据计算机的特征计算出来的,而我们并没有逆向分析它的算法(其实也没有必要),所以我们并不知道病毒程序在不同的计算机中的进程名称是什么,也就不能直接结束病毒进程。但是这里可以使用一种取巧的方法,那就是病毒会将自身加入到注册表启动项中,因此我们只要解析注册表启动项,就能够获取病毒名称以及隐藏位置。经过我在不同的计算机中的测试,可以知道病毒名称是由六个字符组成的,那么我们只要查找启动项中的名称为六个字符,并且它所启动的程序能够匹配之前计算的CRC32指纹特征,那么我们也就找到了病毒的名称以及隐藏位置。

           6、依据上面所找到的病毒名称,结束掉当前正在运行的病毒进程,并删除病毒启动项以及病毒本体。

           有了病毒名称,就可以在当前进程中搜索,找到之后,就可以结束掉病毒进程,之后再删除病毒本体。

           7、将病毒创建的九个动态链接库文件删除,它们位于临时文件夹中的“E_N4”中。

           其实这里即便是不删除这几个动态连库文件,也是可以的,但是为了进行彻底的查杀,我在这里还是需要将它们删除,但是这里需要说明的是,一般来说,文件夹是不能够直接删除的,需要先将文件夹中的内容清空,才能移除文件夹。

           纵观以上七项内容可以发现,前四项主要是针对于U盘的修复,而后面三项则是针对于本地系统的修复。接下来我会利用MFC来实现这些功能。

     

    界面设计

           这里新建一个“MFC AppWizard(exe)”工程,工程名称设定为“UVirusKiller”,然后创建一个“基本对话框”,再单击“完成”,接下来使用一个“编辑框”以及两个“按钮”控件完成界面设计:


    图1 界面设计

           接下来对“编辑框”进行如下设定:


    图2

           并将其ID改为IDC_LIST。之后为“安全打开U盘”按钮控件创建一个类型为“Control”,名为“m_SafeOpen”的变量:


    图3

           至此,界面设计结束。其实大家完全可以依据自己的喜好来设计自己的程序界面。

     

    编写用于检测U盘盘符的代码

           由于程序是在MFC下进行开发的,因此可以使用OnDeviceChange()这个消息响应函数。那么我们的第一步就是先在文件UVirusKillerDlg.cpp中添加消息映射:


    图4 添加消息映射代码

           接下来在头文件UVirusKillerDlg.h中的protected下,添加消息响应函数的定义:


    图5 添加消息响应函数定义

           之后在文件UVirusKillerDlg.cpp中添加获取盘符的代码:
    void CUVirusKillerDlg::GetDriverName(DWORD dwData)
    {
            PDEV_BROADCAST_HDR pDevHdr = (PDEV_BROADCAST_HDR)dwData;
            //如果设备类型为DBT_DEVTYP_VOLUME,则把当前结构体转换为
            //DBT_DEVTYP_VOLUME类型的结构体
            if ( pDevHdr->dbch_devicetype == DBT_DEVTYP_VOLUME )
            {
                    //结构体转换
                    PDEV_BROADCAST_VOLUME pDevVolume = (PDEV_BROADCAST_VOLUME)pDevHdr;        
                    //如果pDevVolume->dbcv_flags为0表示为可移动磁盘
                    if ( pDevVolume->dbcv_flags == 0 )
                    {              
                            //通过将pDevVolume->dbcv_unitmask移位来判断逻辑盘符,
                            //第0位表示A盘,第1位表示B盘,依此类推。
                            DWORD dwUnitmask = pDevVolume->dbcv_unitmask;
                            //最多循环移动26位,因为至多有26位
                            for (i = 0; i < 26; ++i)
                            {
                                    //因为新插入的可移动设备一定会是最后一个盘符的后一个,
                                    //所以这里寻找dwUnitmask中的最低位数值为0x1的位。
                                    if ( dwUnitmask & 0x1)
                                    {
                                            //找到则跳出循环
                                            break;
                                    }
                                    //没找到则继续移位寻找
                                    dwUnitmask = dwUnitmask >> 1;
                            }
                            //如果循环完26位依旧没找到,则返回
                            if ( i >= 26 )
                            {
                                    return ;
                            }
                            //格式操作转化为字符串
                            DriverName.Format("%c:", i + 'A');
                    }
            }
    }

           最后在头文件UVirusKillerDlg.h中的public下添加:


    图6

           需要说明的是,由于程序中使用了DBT_DEVTYP_VOLUME这样以DBT_开头的宏,所以一定要在UVirusKillerDlg.cpp中包含头文件“Dbt.h”。再定义一个字符型全局变量i用于保存可移动磁盘的盘符。并且定义一个CString类型的csTxt用于保存提示内容。至此,判断盘符的程序已经完成。编写完以上程序后,接下来我们还需完善OnDeviceChange()函数。

     

    检测U盘中的可疑文件

           这里不再进行讲解,我已经在代码中添加了足够的注释:
    BOOL CUVirusKillerDlg::OnDeviceChange( UINT nEventType, // An event type. 
    								       DWORD dwData     // The address of a structure that 
    									                    // contains event-specific data. 
    								     )
    {
        // The system broadcasts the DBT_DEVICEARRIVAL device event when 
    	// a device or piece of media has been inserted and becomes available.
    	if ( nEventType == DBT_DEVICEARRIVAL )
        {
            // 在未对U盘进行查杀之前,令“安全打开U盘”不可用
    		m_SafeOpen.EnableWindow(FALSE);
    		SetDlgItemText(IDC_LIST, csTxt);
    		//获取盘符名称
    		GetDriverName(dwData);
            //显示可移动磁盘的盘符
    		CString TmpFile;
    		TmpFile.Format("检测到可移动磁盘为:%c\r\n", i + 'A');
    		csTxt += TmpFile;
    		SetDlgItemText(IDC_LIST, csTxt);
            // 如果成功获取盘符,则继续执行
            if ( DriverName != "" )
            {
    			// 创建CString类型的File,令其保存autorun.inf的完整路径
                CString File = DriverName;
                File += "\\autorun.inf";
                // 用于保存由autorun.inf所启动的程序名
                char szBuff[MAX_PATH] = { 0 };
                // 判断可移动磁盘中的autorun.inf文件是否存在
                if ( GetFileAttributes(File.GetBuffer(0)) == -1 )
                {
                    csTxt += "在可移动磁盘中没有检测到autorun.inf\r\n";
    				SetDlgItemText(IDC_LIST, csTxt);
    				// 如果当前U盘中不存在autorun.inf,则令“安全打开U盘”按钮可用
    				m_SafeOpen.EnableWindow(TRUE);
    				return FALSE;
                }
                
    			csTxt += "在可移动磁盘中检测到autorun.inf\r\n";
                csTxt += "正在解析autorun.inf的启动内容\r\n";
    			SetDlgItemText(IDC_LIST, csTxt);
                // 获取AutoRun.inf文件中open后面的内容,即所要自动打开的可疑文件
                GetPrivateProfileString(
                    "AutoRun",        //The name of the section containing the key name.
                    "open",           //The name of the key whose associated string is to be retrieved.
                    NULL,             //A default string. 
                    szBuff,           //A pointer to the buffer that receives the retrieved string.
                    MAX_PATH,        //The size of the buffer pointed to by the lpReturnedString 
    //parameter, in characters.
                    File.GetBuffer(0)       //The name of the initialization file.
                );
                // DelFile保存由autorun.inf启动的程序的路径
    			CString DelFile = DriverName;
    			DelFile += '\\';
                DelFile += szBuff;
    
                csTxt += "由autorun.inf启动的程序为:";
    			csTxt += DelFile;
    			csTxt += "\r\n正在计算病毒程序的哈希值...\r\n";
                SetDlgItemText(IDC_LIST, csTxt);
                // 获取病毒程序的CRC32值
    			VirusCRC32 = CalcCRC32(DelFile);           
                // 删除可移动磁盘中的autorun.inf以及由之启动的文件,需要首先将病毒程序的属性调整为NORMAL
    			csTxt += "正在删除可移动磁盘中的autorun.inf以及由之启动的程序...\r\n";			
    			
    			SetFileAttributes(File, FILE_ATTRIBUTE_NORMAL);	
    			// 删除autorun.inf
    			BOOL bRet = DeleteFile(File);	
    			csTxt += File;
    			if (bRet)
    			{
                    csTxt += _T("病毒程序被删除!\r\n");
    			} 
                else
    			{
                    csTxt += _T("病毒程序无法删除!\r\n");
    			}				
    			        
    			SetFileAttributes(DelFile, FILE_ATTRIBUTE_NORMAL);
    			// 删除由autorun.inf启动的病毒程序
    			bRet = DeleteFile(DelFile);	
    			csTxt += DelFile;
    			if (bRet)
    			{
                    csTxt += _T("病毒程序被删除!\r\n");
    			} 
                else
    			{
                    csTxt += _T("病毒程序无法删除!\r\n");
    			}
    						
    			SearchAndDeleteVirus(DriverName);
    			csTxt += _T("U盘修复完毕,您现在可以安全地打开U盘或修复本地系统!\r\n");
    			SetDlgItemText(IDC_LIST, csTxt);
                //令"安全打开U盘"按钮可用         
    			m_SafeOpen.EnableWindow(TRUE);
            }
        }
        //The system broadcasts the DBT_DEVICEREMOVECOMPLETE device event 
    	//when a device or piece of media has been physically removed.
    	else if ( nEventType == DBT_DEVICEREMOVECOMPLETE )
        {
            //当U盘被拔出时,令"安全打开U盘"按钮不可用
    		m_SafeOpen.EnableWindow(FALSE);
        }
        
        return TRUE;
    }

     

    编写“修复本地系统”按钮事件代码

    void CUVirusKillerDlg::OnBtnRepair() 
    {
    	// TODO: Add your control notification handler code here
    	csTxt += _T("开始检测本地系统...\r\n正在检查注册表启动项...\r\n");
    	char RegName[]="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\";
    	DWORD dwType = 0;
        DWORD dwBufferSize = MAXBYTE;
        DWORD dwKeySize = MAXBYTE;
    	char szValueName[MAXBYTE] = { 0 };
        char szValueKey[MAXBYTE] = { 0 };
    	
    	//打开注册表启动项
    	HKEY hKey = NULL;
        LONG lRetRun = RegOpenKey(HKEY_LOCAL_MACHINE, RegName, &hKey);
    	if ( lRetRun != ERROR_SUCCESS )
        {
            AfxMessageBox("注册表启动项打开失败!");
    		return ;
        }
    	
    	int i = 0;	
    	
    	while ( TRUE )
    	{
    	    // 枚举键项
    		lRetRun = RegEnumValue(hKey, i, szValueName, &dwBufferSize, NULL, &dwType, (unsigned char *)szValueKey, &dwKeySize);
            if ( lRetRun == ERROR_NO_MORE_ITEMS )
            {
                break;
            }
            // 如果键项为6个字符,并且键值指向的程序的CRC32指纹与病毒指纹匹配,则关闭病毒进程以及删除键项与病毒本体
    		if ( lstrlen(szValueName) == 6 &&  CalcCRC32(szValueKey) == VirusCRC32 )
    		{
    		    BOOL bRet = FALSE;
                DWORD dwPid = 0; 
                // 删除病毒的注册表启动项
    			RegDeleteValue(hKey, szValueName);
    	        csTxt += _T("注册表启动项清理完毕!\r\n");
    			
    			strcat(szValueName, ".EXE");
    			bRet = FindTargetProcess(szValueName, &dwPid);
    			if(TRUE)
    			{
    			    csTxt += _T("检查系统内存...\r\n");
                    csTxt += _T("系统中存在病毒进程:");
    				csTxt += szValueName;
                    csTxt += _T("准备进行查杀...\r\n");
                    SetDlgItemText(IDC_LIST,csTxt);
    				
    				// 提升权限
    	            bRet = EnableDebugPrivilege(SE_DEBUG_NAME);
    				if (bRet == FALSE)
    				{
                        csTxt += _T("提升权限失败\r\n");
    				}
                    else
    				{
                        csTxt += _T("提升权限成功!\r\n");
    				}
    	            SetDlgItemText(IDC_LIST,csTxt);
    
    				// 打开并尝试结束病毒进程
    		        HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS,FALSE,dwPid);
                    if (hProcess == INVALID_HANDLE_VALUE)
    				{
                        csTxt += _T("无法结束病毒进程\r\n");
                        return ;
    				}
    		        bRet = TerminateProcess(hProcess,0);
                    if (bRet == FALSE)
    				{
                        csTxt += _T("无法结束病毒进程\r\n");
                        return ;
    				}
                    csTxt += _T("病毒进程已经结束\r\n");
                    SetDlgItemText(IDC_LIST,csTxt);
                    CloseHandle(hProcess);
    			}
    			break;
    		}		
    		
    		//清空缓冲区
    		ZeroMemory(szValueName,MAXBYTE);
            ZeroMemory(szValueKey, MAXBYTE);
    
    		i++;
    	}
    	RegCloseKey(hKey);
    
    	// 删除自启动的病毒程序
    	csTxt += szValueKey;
    	// 获取病毒程序所在文件夹的路径
    	szValueKey[lstrlen(szValueKey)-11] = '\0';
    	SetFileAttributes(szValueKey, FILE_ATTRIBUTE_NORMAL);	
    	BOOL bRet = DeleteDirectory(szValueKey);	
        if (bRet)
    	{
            csTxt += _T("病毒程序被删除!\r\n");
    	} 
        else
    	{
            csTxt += _T("病毒程序无法删除!\r\n");
    	}
        // 获取保存有病毒DLL文件的文件夹路径	
    	char tempPath[100];
    	DWORD dwSize = 100;
    	GetTempPath(dwSize, tempPath);
    	lstrcat(tempPath, "\E_N4");
        SetFileAttributes(tempPath, FILE_ATTRIBUTE_NORMAL);	
    	// 删除病毒文件夹
    	bRet = DeleteDirectory(tempPath);	
    	csTxt += tempPath;
        if (bRet)
    	{
            csTxt += _T("病毒文件夹被删除!\r\n");
    	} 
        else
    	{
            csTxt += _T("病毒文件夹无法删除!\r\n");
    	}
        SetDlgItemText(IDC_LIST,csTxt);
    }

           至此,所有主要的程序编写完毕,接下来就可以进行专杀工具的测试了。

     

    专杀工具的测试

           这里我们需要让本地系统还有U盘保持中毒的状态,先拔出U盘,然后启动专杀工具,使其开始进行监控,之后插入U盘,专杀工具就会自动开始查杀:


    图7

           此时如果点击“安全打开U盘”,就会打开U盘,可以发现此时U盘中已经没有了病毒程序,并且被隐藏的文件夹也都显示出来了。如果点击“修复本地系统”,那么专杀工具会首先结束掉病毒进程,之后再删除系统中的病毒程序,从而对系统进行彻底的清理。

     

    小结

           这次的专杀工具的代码稍长,但其实也并不难,都是一些基础的API函数的调用,这其中还使用了很多之前“熊猫烧香专杀工具”的函数代码,说明我们应当善于利用之前所编写过的程序。并且应当善于分析病毒特征,比如如何判断病毒名称以及被隐藏的文件夹等,如果要逆向分析这些算法,那么过程无疑是艰辛的。至此,针对于这次的U盘病毒的讲解就到这里,希望大家能够举一反三,有所收获。
    展开全文
  • 格式化或删掉这些文件拔出U盘,之后插上电脑打开U盘后还是老样子,还会出现后缀名为exe的文件,可是电脑的系统没有什么异常。这个到底怎么办? 试过很多专杀软件,什么USBkiller,USBclearer,Autorun防御者都试过...
  • jwgkvsq.vmx专杀工具

    2011-10-26 14:23:11
    主要是除了每次插U盘都会在U盘下生成隐藏的RECYCLER文件夹和autorun.inf之外,好像并没有危害过别的东西。可每次拿的U盘去别人电脑那里总被告知有毒,实在不爽,于是下决心干掉它! Google了一下,试了好几种...
  • sola病毒专杀工具

    2010-01-11 15:39:32
    其实该病毒并不可怕,来帮你彻底清除。 详情登陆hi.baidu.com/qilu1983 里面有详细的解决方案 1.将rar文件复制到c:/windows/system32里,运行install即可 2.将ToProgram和ToSytem32里MS-Dos批处理文件逐个运行...
  • 文件夹exe病毒专杀

    2009-05-11 11:16:40
    如果你出现的问题和遇到的一样,请你下载这个软件,绝对好用,无论电脑系统中的,还是U盘中的文件夹.EXE病毒,瞬间清除,并可以保证源文件不受丝毫的寻坏。更多下载请到http://www.centeros.net
  • autorun专杀.bat

    2008-10-16 11:08:54
    autorun风暴(开机弹出的文档)、AdobeR.exe、rose.exe、 explorer三好学生(不能打开魔兽3等游戏的文件夹)、sxs.exe、 Setup.pif(winl0gon)、tel.xls.exe、fun.xls.exe ::::::只删除U盘上的SHE.exe、ctfmon.exe、...
  • worm_downad.ad趋势&微软专杀工具

    热门讨论 2010-01-06 11:59:06
    为了保险起见,其他的电脑也都用专杀扫了一下,不过没有中这个病毒,也都把一些系统的漏洞都补上了 最后查出来发现问题就是:刚好有两台有这个病毒,那两台都没装杀毒软件,都是在裸奔的=_=! 实在找不到的话一...
  • 威金病毒专杀软件

    2006-11-22 12:21:00
    特别是这个威金病毒,真是把给折腾惨了,恢复系统有6,7次,后来终于找到了个比较好用的工具,还有微软出的补丁,这个是中文的补丁,需要英文的可以去微软官方网站上下。下面是专杀工具和补丁请点这里下载 转载于:...
    最近病毒太猖獗了,就连我这个号称不中病毒的“高手”也难逃劫难。特别是这个威金病毒,真是把我给折腾惨了,恢复系统有6,7次,后来终于找到了个比较好用的工具,还有微软出的补丁,这个是中文的补丁,需要英文的可以去微软官方网站上下。
    下面是专杀工具和补丁

    请点这里下载

    转载于:https://www.cnblogs.com/guodapeng/archive/2006/11/22/568507.html

    展开全文
  • 由于已经在《病毒木马查杀第004篇:熊猫烧香之专杀工具的编写》中编写了一个比较通用的专杀工具的框架,而这个框架对于本病毒来说,经过简单修改也是基本适用的,所以本文就不讨论那些重叠的知识,只针对这个病毒...

    在这里插入图片描述
    一、前言

    由于我已经在《病毒木马查杀第004篇:熊猫烧香之专杀工具的编写》中编写了一个比较通用的专杀工具的框架,而这个框架对于本病毒来说,经过简单修改也是基本适用的,所以本文就不讨论那些重叠的知识,只针对这个病毒特有的方面来讨论专杀工具的编写,然后将其进行组合,就是完整的针对于本病毒的专杀工具了。

    下面是小编整理好的一套C/C++资料,加小编C/C++编程学习群825414254,获取系统性学习C/C++的学习资料

    在这里插入图片描述

    二、原理讨论

    对于本病毒而言,其最大的特色就在于使用了进程守护技术。病毒运行后,同时有三个病毒进程存在,关闭其中的任何一个,由于还有两个病毒进程的存在,那么被关闭的又会被重新开启。要解决这个问题,不能靠“手速”来将三个病毒进程同时关闭,而是应当采取其他办法。我在《安全类工具制作第004篇:进程管理器(上)》中曾经讨论过,遇到这种情况就应当将那几个进程先暂停再关闭。一般来说,进程是不能够直接暂停的,当定位到了想要暂停的进程后,应当将该进程下的所有线程暂停,那么该进程也就停止了。而经过实际测试,利用那篇文章中所编写的进程管理器,是能够成功关闭那三个进程的。弄清楚了原理,那么接下来就是需要编程实现了。

    三、代码编写

    我们需要将三个病毒进程一一暂停,之后再结束。为简单起见,这里创建的是Win32控制台应用程序。代码如下:
    在这里插入图片描述
    在这里插入图片描述

    上述程序可以编译成功。

    四、程序测试

    为了测试这次只针对于病毒进程的专杀工具,我将病毒样本和本程序均拷贝到虚拟机中,然后执行病毒程序,最后执行本专杀工具:

    在这里插入图片描述

    专杀工具的测试

    经测试可知,本专杀工具是有效的,便不再赘述。

    五、小结

    利用进程守护技术确实可以令病毒更加顽固且难以对付,需要进行特别处理才能够将其消灭。本文所讨论的方法也可以运用于其他方面,有待各位读者的发掘。

    展开全文
  • 360顽固木马专杀工具 千万别用

    千次阅读 2009-07-04 22:19:00
    360顽固木马专杀工具 版本V4.0.0.1012 千万别用,正常的系统服务会被删除,最严重的是会删除Oracle服务。还有很多了,还发现几个常用的服务都删除了,还有IE相关的右键菜单,如迅雷的,还有一些驱动程序的DLL,...
  • 4、删除注册表内被病毒恶搞的项目,此项目能支持被恶搞的系统在双击“的电脑”时继续启动附加入桌面程序的那数据流病毒。 5、恢复注册表内load项目的默认空值。 6、修复相关文件关联,不能完美修复,但是将就够...
  • 日 什么J8毒,将系统感染的这严重,系统下所有带.exe结尾的都被感染了 用这个专杀工具,给大伙建议下,很好用。 日这个开发毒的女性。 http://www.yurbbs.cn/post/11.html...
  • 360顽固木马专杀工具 版本V4.0.0.1012 千万别用,正常的系统服务会被删除,最严重的是会删除Oracle服务。还有很多了,还发现几个常用的服务都删除了,还有IE相关的右键菜单,如迅雷的,还有一些驱动程序的DLL,...
  • 盘AUTO病毒专杀工具-RavMonEiller-绿色版 软件大小:271KB 软件语言:简体中文 应用平台:Win9x/Me/NT/2000/XP/2003 软件授权:免费版 软件类别:系统工具 软件介绍:最近一段时间,的许多朋友都中了这个...
  • _desktop.ini病毒专杀

    千次阅读 2006-12-05 16:51:00
    它会搜索你的系统,每个文件夹都去产生一个文件,产生的过程可想而知,有多么消耗资源.多方查找后找到解决办法:在每个盘根目录运行以下命令:del _desktop.ini /f /s /q /a h即可清除.为了更方便的应用,写了一个批处理...
  • ntsd.exe病毒专杀--手工清除

    万次阅读 热门讨论 2008-05-27 17:48:00
    今天总感觉电脑中毒了,因为任务管理器打不开了,还提示ntsd.exe应用程序错误,...看样子不能靠杀软了,靠自己吧~~首先想到去看下注册表的启动相,的是win2000操作系统,顺便在google下ntsd.exe是什么? ntsd.e
  • 所以最好平时要多注意一下,做好预防工作,安装好杀毒软件,然后在自己多注意一下系统的变化,多看系统启动项和系统盘的可疑文件...这样才能防止病毒的入侵,就象现在的电脑.一直没有中过病毒,其实很简单并且连...
  • 用卡巴2009的杀灭方法http://bbs.youhua.com/viewthread.php?tid=88075 不知道在那感染的USP10.DLL这个病毒,很郁闷...以为是所有可执行文件被感染,马上对EXE文件就行分析,后来折腾了2天,又是杀毒,又是分析,都
  • 创建 "jun.exe"病毒专杀程序(BETA1.1)

    千次阅读 2007-12-21 01:49:00
    昨天在网吧下载几本书,回去习惯的右键打开U盘,可是出现了两个中文菜单:“打开(O)”,“资源管理器(X)”,系统是英文的,感到很奇怪~当时也没在意就右键打开了,后来电脑的OEM信息被修改了,什么“军军...
  • 创建 "jun.exe"病毒专杀程序(BETA1.1)

    千次阅读 2007-12-21 23:00:00
    昨天在网吧下载几本书,回去习惯的右键打开U盘,可是出现了两个中文菜单:“打开(O)”,“资源管理器(X)”,系统是英文的,感到很奇怪~当时也没在意就右键打开了,后来电脑的OEM信息被修改了,什么“军军...
  • 最近我们工作室中有台电脑也中了这种毒,今天在网上找了一下,找了几种专杀也杀不了,最后奇迹般地发现了它,没错,就是下面的这款专杀能杀,强烈推荐它,如果杀不了的话,那可能就是Auto变种了.... Auto病毒专杀...
  • 很麻烦的威金Worm.Viking病毒,今天发现电脑中出现了_desktop.ini的文件,才知道中了名为威金(Worm.Viking)的病毒,而安装的江民杀毒软件竟然杀不了,没办法了,只好上网查找解决方法,还真让给找到了,问题解决了,...

空空如也

空空如也

1 2 3 4 5
收藏数 83
精华内容 33
关键字:

我专杀系统