sos.exe 病毒與sos.exe專殺工具
sos.exe是一個木馬病毒,用自編一個批處理專殺工具就可以清除。sos.exe病毒在執行後將systom.exe、sos.exe、autorun.inf複製到系統目錄下,可以通過U盤傳染。sos.exe是:“自動執行木馬下載器變種YWS(Trojan.DL.Win32.Autorun.yws)”病毒。同時sos.exe病毒在系統登錄檔中新增啟動項實現自動啟動。病毒禁用工作管理員並且隱藏病毒檔案,給手工清除帶來麻煩。當用戶瀏覽被病毒修改的檔案時,會自動連線到指定的網址下載其它木馬程式。
把下面程式碼儲存來.bat,執行就可以。
---------------------------------------------------sos.exe 病毒專殺批處理------------------------------------------------------------
@echo off
title 憶林子
color 0a
echo.
echo 該病毒資料
echo 瑞星將該病毒定義為:Worm.Win32.DownLoad.b
echo.
echo 該病毒建立的包括的原始檔如下:
echo.
echo 病毒檔案全路徑 大小(位元組)
echo c:autorun.inf 159
echo c:sos.exe 26,624
echo c:WINDOWSsystem32Autorun.inf 159
echo c:WINDOWSsystem32Systom.exe 26,624
echo 其它所有分割槽:autorun.inf 159
echo 其它所有分割槽:sos.exe 26,624
echo.
echo autorun.inf檔案裡的內容
echo.
echo [AutoRun]
echo.
echo open=sos.exe
echo shellopen=開啟(^&O)
echo shellopenCommand=sos.exe
echo shellopenDefault=1
echo shellexplore=資源管理器(^&X)
echo shellexploreCommand=sos.EXE
echo.
echo 該病毒的後果:
echo 你的防毒軟體會無法開啟,另外你的系統時間會被修改成2000年,無法顯示隱藏檔案
echo 另外,該病毒會把登錄檔項刪除,導致你進入安全模式就藍屏。
echo 可能還有其它的情況,我這裡就不詳細說明了.
echo.
ECHO 注意:該病毒會將你的系統時間修改為2000年,而這個防毒程式的會將你的時間
echo 修改為2007年,你如果是在2007年使用這個的話,系統時間就不用修改了,否則
echo 防毒後請自己重新設定系統時間。
echo.
echo.
set /p tmp=以上是該病毒的資訊,如果要清除該病毒,請回車鍵開始防毒...
rem 結束病毒程序
for %%d in (sos.exe,Systom.exe,reg.exe,iexplore.exe) do (
taskkill /im %%d /f
cls
)
rem 把時間改成2007年
FOR /F "eol=; tokens=1,2,3 delims=- " %%i in ('date /t') do (
date 2007-%%j-%%k
)
rem 去除病毒原始檔的 系統、隱藏、只讀 屬性,然後刪除它們。
for %%d in (Autorun.inf,Systom.exe) do if exist "%systemroot%system32%%d" (
attrib -s -h -r "%systemroot%system32%%d"
del "%systemroot%system32%%d" /q
)
rem 新增進入安全模式的登錄檔項
reg add "HKLMSYSTEMControlSet001ControlSafeBootMinimal" /ve /d DiskDrive /f
reg add "HKLMSYSTEMControlSet001ControlSafeBootNetwork" /ve /d DiskDrive /f
reg add "HKLMSYSTEMControlSet003ControlSafeBootMinimal" /ve /d DiskDrive /f
reg add "HKLMSYSTEMControlSet003ControlSafeBootNetwork" /ve /d DiskDrive /f
reg add "HKLMSYSTEMCurrentControlSetControlSafeBootMinimal" /ve /d DiskDrive /f
reg add "HKLMSYSTEMCurrentControlSetControlSafeBootNetwork" /ve /d DiskDrive /f
cls
rem 解除對工作管理員的禁用
reg delete "HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem" /v DisableTaskMgr /f
rem 解除禁用Windows更新程式
reg delete "HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesWindowsUpdate" /v DisableWindowsUpdateAccess /f
rem 新增顯示隱藏檔案的登錄檔項
reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL" /f
reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDEN" /v Text /d "@shell32.dll,-30501" /f
reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL" /v CheckedValue /t reg_dword /d 1 /f
reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL" /v DefaultValue /t reg_dword /d 2 /f
reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL" /v HelpID /d "shell.hlp#51105" /f
reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL" /v HKeyRoot /t reg_dword /d 2147483649 /f
reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL" /v RegPath /d "SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced" /f
reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL" /v Text /d "@shell32.dll,-30500" /f
reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL" /v Type /d "radio" /f
reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL" /v ValueName /d "Hidden" /f
reg add "HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced" /v Hidden /d 1 /f
reg add "HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced" /v HideFileExt /d 0 /f
reg add "HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced" /v ShowSuperHidden /d 1 /f
rem 刪除病毒新增的啟動項
for %%f in (crsss) do (
reg delete "HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun" /v %%f /f
)
rem 刪除其它盤根目錄下的病毒檔案
for %%f in (autorun.inf,sos.exe) do (
for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do (
if exist %%d:%%f (
attrib -s -h -r %%d:%%f
del %%d:%%f /q
)
)
)
rem 刪除病毒在登錄檔中新增的關聯
if exist test.憶林子 del test.憶林子
reg query "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options">test.憶林子
for /f "tokens=* delims= skip=4" %%j in (test.憶林子) do (
reg delete "%%j" /v debugger /f
cls
if exist test.憶林子 del test.憶林子
echo.
echo 正在清除由病毒新增的登錄檔項,請稍候...
echo.
)
if exist test.憶林子 del test.憶林子
reg add "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsYour Image File Name Here without a path" /v Debugger /d "ntsd -d" /f
cls
color a0
echo.
echo 病毒清除完畢,按回車鍵開始解決分割槽無法雙擊開啟的問題.
echo.
set /p test=
cls
@echo off
title 憶林子--解決分割槽無法開啟
color a0
rem 刪除引起磁碟無法雙擊開啟的autorun.inf檔案
for /d %%i in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%i:autorun.inf (
cacls %%i:autorun.inf /c /e /p everyone:f
attrib -s -h -r %%i:autorun.inf
del %%i:autorun.inf /q
)
rem 進行磁碟檢查,恢復雙擊開啟功能
for /d %%i in (d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%i: chkdsk %%i: /f /x
cls
color ec
echo.
echo 操作結束,按回車鍵退出該程式...
echo.
set /p temp=
:exit
exit
----------------------------------------------------------------------------------------------------------------------------------------------------