推荐榜 短消息 big5 繁体中文 找回方式 手机版 广 广告招商 主页 VIP 手机版 VIP 界面风格 ? 帮助 我的 搜索 申请VIP
客服
‹‹ 上一主题 | 下一主题 ››
发新话题
打印

[教程] 怎样简单杀掉机器狗

702chen

LEVEL 7(优秀层次)

发帖学徒

Rank: 6Rank: 6

帖子
126 
精华
0 
积分
104 
金币
5182 枚 
原创
0 贴 
威望
0 点 
支持
78 度 
感谢
140 度 
贡献
0 值 
赞助
0 次 
推广
0 人 
阅读权限
50 
注册时间
2006-3-27 
1楼 发表于 2008-8-31 15:11  只看该作者
购买/设置 醒目高亮!点此感谢支持作者!本贴共获得感谢 X 10

怎样简单杀掉机器狗

版主留言
codeer(2008-8-31 15:16):兄弟,这个附件内文件比较多,还请您能把使用方法附加上来,虽然附件包里面有使用方法。省的跟贴的朋友们不会使用还会再询问。
codeer(2008-9-1 12:53):我已经帮你重新编辑了贴子。
日前,一种可以穿透各种还原软件与硬件还原卡的机器狗病毒异常肆虐。此病毒通过pcihdd.sys驱动文件抢占还原软件的硬盘控制权。并修改用户初始化文件userinit.exe来实现隐藏自身的目的。此病毒为一个典型的网络架构木马型病毒,病毒穿透还原软件后将自己保存在系统中,定期从指定的网站下载各种木马程序来截取用户的帐号信息。那么我们就可以找一个原始的没有经过污染的userinit.exe来替换掉已经被感染的userinit.exe文件。当然首先要删除这个文件。
附件就修改成原始的userinit.exe文件好了。

1)首先建立一个文本文件,重命名为a.bat,在a.bat文件上右击选择“编辑”命令,进入bat的编辑模式,把下面这段内容复制进入,保存。
复制内容到剪贴板
代码:
@echo off
tasklist |find/i "comrepl32.exe" &&taskkill /im comrepl32.exe /f
tasklist |find/i "comrepl32.exe" &&taskkill /im comrep132.exe /f
del /q "c:\windows\system32\Com\comrepl32.exe" >nul
del /q "c:\windows\system32\Com\comrep132.exe" >nul
del /q "c:\windows\system32\config\AppEventw.cfg" >nul
del /q "c:\windows\system32\drivers\pcibus.sys" >nul
del /q  "c:\Windows\system32\com\comrereg.exe" >nul
del /q "c:\windows\system32\usrinit.exe" >nul
cls
tasklist |find/i "conime0.exe" &&taskkill /im conime0.exe /f&&attrib -h -s -r conime0.exe&&del /f /q conime0.exe
copy /y sysvir.txt "%temp%\" >nul
:::Hosts文件替换,屏蔽恶意网站
copy /y hosts "%temp%\" >nul
cd/d %systemroot%\system32\drivers\etc
echo y|cacls hosts /g everyone:f >nul
copy /y "%temp%\hosts" >nul
echo y|cacls hosts /g everyone:r >nul
:::即时查杀
del /q "c:\windows\system32\Com\comrepl32.exe" >nul
del /q "c:\windows\system32\Com\comrep132.exe" >nul
cd/d %SystemRoot%
tasklist |find/i "conime0.exe" &&taskkill /im conime0.exe /f&&attrib -h -s -r conime0.exe&&del /f /q conime0.exe
tasklist |find/i "IGM.exe" &&taskkill /im IGM.exe /f&&attrib -h -s -r IGM.exe&&del /f /q IGM.exe
tasklist |find/i "IG.exe" &&taskkill /im IG.exe /f&&attrib -h -s -r IG.exe&&del /f /q IG.exe
tasklist |find/i "IGW.exe" &&taskkill /im IGW.exe /f&&attrib -h -s -r IGW.exe&&del /f /q IGW.exe
tasklist |find/i "faywpp.exe" &&taskkill /im faywpp.exe /f&&attrib -h -s -r faywpp.exe&&del /f /q faywpp.exe
tasklist |find/i "usrinit.exe" &&taskkill /im usrinit.exe /f
tasklist |find/i "userinit.exe" &&taskkill /im userinit.exe /f
cls
del /q "c:\windows\system32\Com\comrepl32.exe" >nul
del /q "c:\windows\system32\Com\comrep132.exe" >nul
:::开始免疫
title 正在为机器狗和IGM打免疫补丁,大概需要一分钟左右,请稍候--------
cd/d "%temp%\"
for /f "delims=@" %%s in (sysvir.txt) do (
     cls
     echo.
     echo.
     echo 目前正为 %%s 病毒打上免疫补丁…………………
     cd\
     if not exist %%s (
       md %%s\101\202
       cd\
       cd %%s
       md Mouse..\
       cd 101
       md Mouse..\
       echo y|cacls 202 /d everyone >nul
       cd..
       echo y|cacls 101 /d everyone >nul
       cd\      
       ATTRIB +R +H +S %%s >nul
     ) else (cd/d "%temp%\")
     cd/d "%temp%\"
)
:::以下照搬zhenyun168版主的批处理中的注册表禁止部分,特此声明并感谢!!!
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IGM.exe" /v debugger /t reg_sz /d debugfile.exe /f >nul
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\conime0.exe" /v debugger /t reg_sz /d debugfile.exe /f >nul
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IGW.exe" /v debugger /t reg_sz /d debugfile.exe /f >nul
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IG.exe" /v debugger /t reg_sz /d debugfile.exe /f >nul
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQSC.exe" /v debugger /t reg_sz /d debugfile.exe /f >nul
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Kvsc3.exe" /v debugger /t reg_sz /d debugfile.exe /f >nul
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\faywpp.exe" /v debugger /t reg_sz /d debugfile.exe /f >nul
cls
del /f /q "%temp%\sysvir.txt"
del /f /q "%temp%\hosts"
exit
2)接着再建立一个文本文件,重命名为b.bat,在b.bat文件上右击选择“编辑”命令,进入bat的编辑模式,把下面这段内容复制进入,保存。
复制内容到剪贴板
代码:
echo off
msiexec   -i    flash.msi  /passive
@echo 删除系统病毒文件
del /s "c:\windows\system32\userinit.exe"

del /s "c:\windows\system32\usrinit.exe"
start userinit.exe
pause
regedit /s 修改启动.reg
@echo 调用e盘批处理

start "E:\系统更新\客户机开机运行\run.bat"
exit
3)运行a.bat文件。
4)运行b.bat文件。
5)把附件内的userinit.exe复制到c:\windows\system32这个文件目录里。
先后运行A和B文件.再把附件中的userinit.exe粘贴到\WINDOWS\system32下.就OK了.

你的支持是我最大的鼓励。多点红心支持哦。

[ 本帖最后由 codeer 于 2008-9-1 12:53 编辑 ]

附件

userinit.rar (11.06 KB)

2008-8-31 15:45, 下载次数: 11

本帖最近评分记录
  • codeer 金币 +10 感謝帶給大家預防軟體。 2008-8-31 15:18

点此感谢支持作者!本贴共获得感谢 X 10
TOP

作者的其他主题:
MM教我的追女方法,大家看看行不行 代理服务器知识大全 文件夹加密器v4.6 毛片不用藏 怎样简单杀掉机器狗
hainanren

㊣射虎聯盟㊣无言


LEVEL 9(精英人才)

发帖熟手

Rank: 8Rank: 8

【街拍•皆拍】海南

帖子
3542 
精华
2 
积分
883 
金币
3067 枚 
原创
148 贴 
威望
70 点 
支持
4128 度 
感谢
10000 度 
贡献
195 值 
赞助
0 次 
推广
3 人 
阅读权限
70 
注册时间
2006-9-7 

竟猜活力勋章 竟猜活力王勋章 图区街拍•皆拍家族 图区忠实会员 图区原创会员 图区原创一代宗师 图区原创高手

2楼 发表于 2008-9-1 10:11  只看该作者
好不好用呀.下了试试再说吧.应该是不错的东西.

TOP

linjccaoning

LEVEL 7(优秀层次)

发帖初学者

Rank: 6Rank: 6

帖子
796 
精华
0 
积分
56 
金币
2246 枚 
原创
2 贴 
威望
1 点 
支持
540 度 
感谢
109 度 
贡献
1 值 
赞助
0 次 
推广
0 人 
阅读权限
50 
注册时间
2006-9-11 
3楼 发表于 2008-9-1 11:32  只看该作者
很好 虽然我看不懂 但是我真的很佩服楼主 收藏了

TOP

702chen

LEVEL 7(优秀层次)

发帖学徒

Rank: 6Rank: 6

帖子
126 
精华
0 
积分
104 
金币
5182 枚 
原创
0 贴 
威望
0 点 
支持
78 度 
感谢
140 度 
贡献
0 值 
赞助
0 次 
推广
0 人 
阅读权限
50 
注册时间
2006-3-27 
4楼 发表于 2008-9-1 22:13  只看该作者
版主留言
codeer(2008-9-2 18:44):兄弟,继续努力。
谢谢版主了啊。
看过就知道下次该咋发了

TOP

huayi0701 该用户已被删除
5楼 发表于 2008-9-1 22:22  只看该作者
我也看不明白,但是楼主辛苦了,顶下先吧。
本帖最近评分记录
  • codeer 金币 -5 回复中请不要使用“顶”字! 2008-9-2 18:44

TOP

wys811116

Ban to Visit(禁访)

发帖学徒

帖子
154 
精华
0 
积分
53 
金币
2635 枚 
原创
0 贴 
威望
0 点 
支持
21 度 
感谢
692 度 
贡献
0 值 
赞助
0 次 
推广
1 人 
阅读权限
注册时间
2008-8-5 
6楼 发表于 2008-9-1 23:05  只看该作者
现在网上有专门的专杀工具,大家如果看不明白楼主的意思可以去网上搜索一下,

TOP

tztztztz 该用户已被删除
7楼 发表于 2008-9-5 05:25  只看该作者

谢谢了,我会记住 的,呵呵.能交个朋友吗?怎么联系你?

谢谢了,我会记住 的,呵呵.能交个朋友吗?怎么联系你?

TOP

‹‹ 上一主题 | 下一主题 ››
发新话题


当前时区 GMT+8, 现在时间是 2025-6-16 22:17

Processed in 0.033209 second(s), 2 queries, Gzip enabled.