|
|
近日sxs2.exe病毒袭卷校园各处打印室,导致全校都在感染这个病毒,把系统时间改为1980.4.1,卡巴斯基马上停止工作,用autorun连接sxs2.exe程序,电脑就种上了.
! o U2 F0 Y, J Q 学校BBS上的牛人找出解决方案,转载以供参考.5 H( |! ~- p( n. L8 u& m
把以下文字复制进文本文档,另存为"清理sxs2.bat"双击运行.5 c- N8 c5 |* R( u. N" b) Y8 L
. l' R* a( ~, T" @ @echo off
2 A8 ^4 j/ ^0 Y4 l+ `% ]color 1a$ p( M/ Z k5 E9 A/ Q- m
echo .
: _7 L. v" K: u$ W9 K, J' jecho 欢迎使用
# j* t3 A1 W: L5 y# S5 o7 becho .' f6 H( A$ T5 y+ U8 F- E
echo 本程序主要应对sxs2.exe病毒,症状主要表现为“时间被改成1980.4.1,开机提示时间错误
_' y8 g& ^& J2 _ v6 N1 Iecho 无法查看隐藏文件,卡巴斯基提示激活错误,磁盘需要右键打开”等& K' n$ }. p. c4 x( E# v
echo.
' A& H8 }/ z4 \: n4 Wecho 时间错误请在本程序运行结束后手动进行修改,本程序不负责此事
. f0 n! N& L S$ d5 W3 b( vecho .( O* F7 a' X Y
echo .- @- y$ ^& f# L) g
echo ----------------------------by 电脑门诊 -----------------% k3 ~; M' m" O# {
echo .
r: O/ ~' `* O3 i5 R1 F% }echo .1 w* I9 x) t- B$ [3 [9 ^
echo 同时按 Ctrl C 组合键可退出本程序
" w2 @- j" u/ o3 Y+ p6 v0 N% C, \pause
0 S; U2 z8 G2 z% x) H* @9 g$ H3 X) y2 J3 Eecho ./ F# z; _% t& i9 \/ n& E8 J" v
echo -------------------------------现在开始 ------------------
' [' v5 u( D8 H* |2 x0 Mecho .
; w0 X2 x# b8 i f, U/ S@echo off+ @ d& E) I! z$ X
echo 准备终止 sxs2.exe 进程
, L f. }* j. aecho 同时按 Ctrl C 组合键可退出本程序
& [8 N) U; I g6 C+ P/ p0 B# }' fecho .: d9 E* v& B% S1 @, x6 a4 o+ E. N$ a
echo 如本程序出现提示“错误: 没有找到进程 "sxs2.exe"”则表示此病毒已停止运行
! l! [8 O5 V8 d" {; \echo .
1 y' W+ @: k5 Y8 e, S& q( |pause6 k3 {4 ~4 `/ O# x0 z# ?& F
taskkill /f /im sxs2.exe
- x8 r9 F! M: Z; \. e8 Mtaskkill /f /im sxs2.exe
) s9 ^% X- J% ^2 g" h6 mecho .4 P9 J' u# w3 w% {- Z
echo 开始删除 C 到 K 盘根目录下的sxs2.exe组件9 V, l& I/ C" y; ?, t4 c
echo .
8 E0 B- |' l0 H' f- P% j4 y7 v: \/ z* hecho 中间可能会出现桌面消失、打开的文件夹被关闭情况,不必太担心% D3 M7 c! y4 c, }+ ^* T
echo .
5 T1 C6 ~7 F8 v/ W6 F1 {echo 同时按 Ctrl C 组合键可退出本程序: z+ t2 l0 e# B9 H% O, g
echo ./ Y8 }2 U6 I( r* ^# J N" t5 M
pause7 Q, e& I) f3 L- c+ h
md c:\hold
4 b4 H4 [0 A% z/ y+ e6 w5 _echo .1 T2 F! R9 m- x
copy %SYSTEMROOT%\system32\autorun.exe c:\hold
, p& Z+ F1 K3 O$ {4 ^" {taskkill /f /im EXPLORER.EXE( V# h7 P4 w7 V
echo .' G9 Y: l. x* _9 }0 D: V
del /f /a %SYSTEMROOT%\system32\autorun.*
$ Y4 F9 _1 l& F2 g% Odel /f /a c:\autorun.*
, x ]* n" E( |: g, A3 ndel /f /a c:\desktop.ini m2 {# g# s. h6 ^7 J
del /f /a c:\folder.htt8 k: E) L, T- V, n
del /f /a c:\sxs2.exe# w6 w4 d! b! O
echo .; d' N8 a& Q1 x4 R, M- T
copy c:\hold\autorun.exe %SYSTEMROOT%\system32\autorun.exe
9 B* w0 d0 J9 P" i* N( E1 mecho .
9 Q4 N6 V$ q; i9 ard /s /q c:\hold7 {5 m" U. q3 Q. O* b, m) b9 G
echo .
5 U U6 }- l. e' c1 z9 hdel /f /a D:\autorun.*6 }3 k" w1 i) w( I! N: z0 Q9 d
del /f /a D:\desktop.ini, Q% e1 D ^3 l' z9 n/ T) m
del /f /a D:\folder.htt
' ]8 U" { w6 S. d0 \del /f /a D:\sxs2.exe
' U# O6 _% p# d: ^! \' @6 f" p2 \echo .: N4 @9 L/ y" ]6 B- a [
del /f /a E:\autorun.*5 u, M5 F2 l9 F; Y
del /f /a E:\desktop.ini2 G2 E: f7 r1 K" t
del /f /a E:\folder.htt
7 Z# b) z3 b2 L1 Xdel /f /a E:\sxs2.exe
" [ X7 S6 X& H% P* [echo .
# L- B9 F) `6 C& |; a( U2 A) Mdel /f /a F:\autorun.*
' L# e( E+ r, D! E7 o' h; @del /f /a F:\desktop.ini; E2 ]# x5 X/ d3 `
del /f /a F:\folder.htt
8 k! \9 F# Y& `) Cdel /f /a F:\sxs2.exe
1 g/ E# v# @3 {* g- V: ]* V; M! becho .
z s8 Z4 z/ M5 jdel /f /a G:\autorun.*
1 k! v$ Z) u& O; M' A. E, Jdel /f /a G:\desktop.ini) Y0 K' e8 Y5 W D
del /f /a G:\folder.htt- m: |6 K8 H6 T8 j; N8 s
del /f /a G:\sxs2.exe
1 P" z/ s: Y, S! T) aecho .$ ^+ q5 v) i6 l4 I3 H3 G
del /f /a H:\autorun.*' C S( T, c0 I) A' G9 D: Z
del /f /a H:\desktop.ini N( m6 Q" |, [$ d: T- L
del /f /a H:\folder.htt6 G2 Z7 R; n0 N; f! Z# E1 M+ o
del /f /a H:\sxs2.exe
. ?+ H( U s7 w$ `echo .
, ]# a, w) o: x) J" Wdel /f /a I:\autorun.*
6 H+ T" q. I Idel /f /a I:\desktop.ini
8 K- a- f3 e8 i3 `! }: Y2 k/ Ndel /f /a I:\folder.htt
2 E2 C6 p( n0 B& } udel /f /a I:\sxs2.exe0 n0 w+ G5 w% K2 O! w9 R
echo .6 z2 {" J7 w2 K8 L+ h
del /f /a J:\autorun.*
5 F7 Q3 w$ R: |' bdel /f /a J:\desktop.ini! r" f4 }- T/ T! n
del /f /a J:\folder.htt
( e' g( r# C! T9 ydel /f /a J:\sxs2.exe
, s9 A4 k1 c/ w+ V# Wecho ., f) h7 C* n; U: N' {( ?
del /f /a K:\autorun.*( Q1 z2 g& Y* v1 F4 y6 Y
del /f /a K:\desktop.ini* m4 h5 i, _ q4 S" D' J- X4 D p
del /f /a K:\folder.htt9 n# I6 \5 ^9 z4 D/ [
del /f /a K:\sxs2.exe4 c$ ^7 q! _* P7 _0 H) O" v1 x3 b
echo .
% k/ X7 E' p; z. Dstart C:\WINDOWS\EXPLORER.EXE: F8 r; M3 u3 H) I4 v& T! q
echo C 到 K 盘根目录下的组件删除完毕
3 u" F9 L; o1 X) w0 R% mecho .1 `8 S( j) }" n. U, s
echo 现在准备解决无法打开“显示所有文件和文件夹”选项和双击盘符在新窗口打开等的问题
, o5 m4 ~4 c) Wecho 同时按 Ctrl C 组合键可退出本程序# Y% x- C* ?2 `5 Z e
echo .( n7 g" P0 ]0 H/ J. o+ s
pause
2 l- e' a( c; preg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v checkedValue /f
" L0 z) T k1 l2 c9 Jreg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v checkedValue /t REG_DWORD /d 000000018 J6 x4 O$ T0 r* F5 _/ E" ^
reg delete HKCR\Drive\shell /ve /f/ z1 C8 ], E5 K: u" B
reg add HKCR\Drive\shell /ve /t REG_SZ /d none" U% R2 _4 B* D' c3 ]; R1 `
echo .% M6 b6 _9 W+ Z/ }( B4 L4 j b
echo 开始删除注册表中的启动项
/ Y0 t$ W! X" v9 o' O) s& E: jecho .
+ v$ H/ A+ i _echo 如果本程序出现“错误: 系统找不到指定的注册表项或值”表示此病毒开机启动项已删除$ r5 H) D7 `5 ?+ [
echo 或是出现了新变种,请在“系统配置实用程序”自行去除
w- M _& m& r6 d4 Q9 y, Xecho . D$ S+ p. [3 c6 i, T. y- z0 ]/ h
echo 同时按 Ctrl C 组合键可退出本程序6 Y0 e u1 l+ A. r! ?
echo .
; n$ W" X5 J- T, {8 apause
9 ?" k' [9 I9 o2 Dreg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v sxs2 /f5 K$ s6 @" F6 d4 i1 Z& |6 k
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v sxs2.exe /f# _; T2 j. \. b/ y' Q1 \* | q8 x
echo ., Y- ?: A3 J6 _9 c" t
echo 现在打开"系统配置实用程序",请自己再检查一下是否还有它的启动项,如有请自行去掉
, R5 r: U( m: @( M: C% C5 ^( l4 J. _echo .8 o9 Q+ q1 h8 n" W; q" G9 q
echo 同时按 Ctrl C 组合键可退出本程序, f/ O# f2 d3 q, V& b& t ~. f
pause
# |- y4 V$ m+ K( ustart msconfig
% Y9 t. r$ l$ j2 f, u3 R# p. w$ ]echo .% ^4 G% U D) b5 k
echo .% @8 `& I8 Q6 J' H! y" c
echo 清理结束,为保证杀除成功,请注销一下机器
& l. c% T5 S2 s8 \% T8 V( @echo .
' M# ]! K3 B) a4 V% c& Techo 如还有其他情况请来五色土"电脑门诊"询问,感谢使用! ?, [* x" i8 M+ w! P
echo .5 t: F4 c7 f2 c! g) |5 _
pause |
|
IP卡
狗仔卡
发表于 2007-1-21 11:05:27
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡