1. 程式人生 > >sos.exe 病毒與sos.exe專殺工具

sos.exe 病毒與sos.exe專殺工具

sos.exe是一個木馬病毒,用自編一個批處理專殺工具就可以清除。sos.exe病毒在執行後將systom.exe、sos.exe、autorun.inf複製到系統目錄下,可以通過U盤傳染。sos.exe是:“自動執行木馬下載器變種YWS(Trojan.DL.Win32.Autorun.yws)”病毒。同時sos.exe病毒在系統登錄檔中新增啟動項實現自動啟動。病毒禁用工作管理員並且隱藏病毒檔案,給手工清除帶來麻煩。當用戶瀏覽被病毒修改的檔案時,會自動連線到指定的網址下載其它木馬程式。

把下面程式碼儲存來.bat,執行就可以。
---------------------------------------------------sos.exe 病毒專殺批處理------------------------------------------------------------
@echo off
title 憶林子
color 0a
echo.
echo                                    該病毒資料
echo    瑞星將該病毒定義為:Worm.Win32.DownLoad.b
echo.
echo    該病毒建立的包括的原始檔如下:
echo.
echo    病毒檔案全路徑                      大小(位元組)
echo    c:autorun.inf                      159
echo    c:sos.exe                          26,624
echo    c:WINDOWSsystem32Autorun.inf     159
echo    c:WINDOWSsystem32Systom.exe      26,624
echo    其它所有分割槽:autorun.inf           159
echo    其它所有分割槽:sos.exe               26,624
echo.
echo     autorun.inf檔案裡的內容
echo.
echo      [AutoRun]
echo.
echo      open=sos.exe
echo      shellopen=開啟(^&O)
echo      shellopenCommand=sos.exe
echo      shellopenDefault=1
echo      shellexplore=資源管理器(^&X)
echo      shellexploreCommand=sos.EXE
echo.
echo   該病毒的後果:
echo   你的防毒軟體會無法開啟,另外你的系統時間會被修改成2000年,無法顯示隱藏檔案
echo   另外,該病毒會把登錄檔項刪除,導致你進入安全模式就藍屏。
echo   可能還有其它的情況,我這裡就不詳細說明了.
echo.
ECHO   注意:該病毒會將你的系統時間修改為2000年,而這個防毒程式的會將你的時間
echo   修改為2007年,你如果是在2007年使用這個的話,系統時間就不用修改了,否則
echo   防毒後請自己重新設定系統時間。
echo.

echo.
set /p tmp=以上是該病毒的資訊,如果要清除該病毒,請回車鍵開始防毒...

rem 結束病毒程序
for %%d in (sos.exe,Systom.exe,reg.exe,iexplore.exe) do (
   taskkill /im %%d /f
   cls
)

rem 把時間改成2007年
FOR /F "eol=; tokens=1,2,3 delims=- " %%i in ('date /t') do (
   date 2007-%%j-%%k
)

rem 去除病毒原始檔的 系統、隱藏、只讀 屬性,然後刪除它們。
for %%d in (Autorun.inf,Systom.exe) do if exist "%systemroot%system32%%d" (
   attrib -s -h -r "%systemroot%system32%%d"
   del "%systemroot%system32%%d" /q
)
rem 新增進入安全模式的登錄檔項
reg add "HKLMSYSTEMControlSet001ControlSafeBootMinimal" /ve /d DiskDrive /f
reg add "HKLMSYSTEMControlSet001ControlSafeBootNetwork" /ve /d DiskDrive /f
reg add "HKLMSYSTEMControlSet003ControlSafeBootMinimal" /ve /d DiskDrive /f
reg add "HKLMSYSTEMControlSet003ControlSafeBootNetwork" /ve /d DiskDrive /f
reg add "HKLMSYSTEMCurrentControlSetControlSafeBootMinimal" /ve /d DiskDrive /f
reg add "HKLMSYSTEMCurrentControlSetControlSafeBootNetwork" /ve /d DiskDrive /f
cls


rem 解除對工作管理員的禁用
reg delete "HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem" /v DisableTaskMgr /f

rem 解除禁用Windows更新程式
reg delete "HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesWindowsUpdate" /v DisableWindowsUpdateAccess /f

rem 新增顯示隱藏檔案的登錄檔項
reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL" /f
reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDEN" /v Text /d "@shell32.dll,-30501" /f
reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL" /v CheckedValue /t reg_dword /d 1 /f
reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL" /v DefaultValue /t reg_dword /d 2 /f
reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL" /v HelpID /d "shell.hlp#51105" /f
reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL" /v HKeyRoot /t reg_dword /d 2147483649 /f
reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL" /v RegPath /d "SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced" /f
reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL" /v Text /d "@shell32.dll,-30500" /f
reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL" /v Type /d "radio" /f
reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL" /v ValueName /d "Hidden" /f

reg add "HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced" /v Hidden /d 1 /f
reg add "HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced" /v HideFileExt /d 0 /f
reg add "HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced" /v ShowSuperHidden /d 1 /f

rem 刪除病毒新增的啟動項
for %%f in (crsss) do (
   reg delete "HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun" /v %%f /f
)

rem 刪除其它盤根目錄下的病毒檔案
for %%f in (autorun.inf,sos.exe) do (
   for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do (
     if exist %%d:%%f (
       attrib -s -h -r %%d:%%f
       del %%d:%%f /q
     )
   )
)

rem 刪除病毒在登錄檔中新增的關聯
if exist test.憶林子 del test.憶林子
reg query "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options">test.憶林子
for /f "tokens=* delims= skip=4" %%j in (test.憶林子) do (
    reg delete "%%j" /v debugger /f
    cls
    if exist test.憶林子 del test.憶林子

    echo.
    echo       正在清除由病毒新增的登錄檔項,請稍候...
    echo.

)
if exist test.憶林子 del test.憶林子
reg add "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsYour Image File Name Here without a path" /v Debugger /d "ntsd -d" /f
cls

color a0

echo.
echo       病毒清除完畢,按回車鍵開始解決分割槽無法雙擊開啟的問題.
echo.

set /p test=
cls
@echo   off
title 憶林子--解決分割槽無法開啟
color a0
rem 刪除引起磁碟無法雙擊開啟的autorun.inf檔案
for /d %%i in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%i:autorun.inf (
   cacls %%i:autorun.inf /c /e /p everyone:f
   attrib -s -h -r %%i:autorun.inf
   del %%i:autorun.inf /q
)
rem 進行磁碟檢查,恢復雙擊開啟功能
for /d %%i in (d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%i: chkdsk %%i: /f /x
cls
color ec

echo.
echo                 操作結束,按回車鍵退出該程式...
echo.

set /p temp=
:exit
exit
----------------------------------------------------------------------------------------------------------------------------------------------------