Autorun病毒清除工具bat代码介绍

admin管理员组

文章数量:1530285

2024年7月31日发(作者：)

Autorun 病毒清除工具bat代码介绍

电脑病毒看不见，却无处不在，有时防护措施不够或者不当操作

都会导致病毒入侵。本程序运行后自动清除每个盘符下面的Autorun

病毒,Echo本程序原理是基于读取每个盘符下的相关字段

复制代码 代码如下:

@Echo Off

color 2f

title Autorun 病毒清除工具-By Phexon

Rem 杀进程

taskkill /F /IM /IM /IM

/IM /IM /IM /IM /IM

/IM /IM /IM >nul

2>nul

:clearauto

cls

Echo.

Echo Autorun 病毒清除工具

Echo.

Echo.

Echo.

Echo 制作：Phexon

Echo.

Echo 本程序运行后自动清除每个盘符下面的Autorun病毒

Echo 本程序原理是基于读取每个盘符下的相关字段

Echo.

Echo [1] 仅仅删除所有盘符下的 Autorun 病毒

Echo [2] 删除所有盘符下的 Autorun 病毒并且建立同名免疫目录

(推荐!)

Echo [3] 禁用系统的 Autorun 机制以避免 Autorun 病毒的再次

感染

Echo [4] 取消所有盘符的 Autorun 病毒免疫

Echo [5] 删除并免疫指定盘符的 Autorun 病毒

Echo [6] 取消免疫指定盘符

Echo [7] 恢复相关注册表项默认值

Echo [0] 退出

Echo.

Set /p clearslt= 请输入您的选择(1/2/3/4/5/6/7/0):

If "%clearslt%"=="" Goto clearauto

If "%clearslt%"=="1" Goto clearauto1

If "%clearslt%"=="2" Goto clearauto2

If "%clearslt%"=="3" Goto clearauto3

If "%clearslt%"=="4" Goto clearauto4

If "%clearslt%"=="5" Goto clearauto5

If "%clearslt%"=="6" Goto clearauto6

If "%clearslt%"=="7" Goto clearauto7

If "%clearslt%"=="0" Exit

:clearauto1

taskkill /F /IM /IM /IM

/IM /IM /IM /IM /IM

/IM /IM /IM >nul

2>nul

For %%a In (C D E F G H I J K L M N O P Q R S T U V W X Y Z)

Do (

fsutil fsinfo drivetype %%a: |find /i "固定驱动器" && (

For /f "tokens=2 delims==" %%b In (%%a:) Do

Del /a /f /q "%%a:%%b" >nul 2>nul

Del /a /f /q %%a: >nul 2>nul

) >nul 2>nul

fsutil fsinfo drivetype %%a: |find /i "可移动驱动器" && (

For /f "tokens=2 delims==" %%b In (%%a:) Do

Del /a /f /q "%%a:%%b" >nul 2>nul

Del /a /f /q %%a: >nul 2>nul

) >nul 2>nul

)

cls

Echo Autorun 病毒清除完毕，任意键返回……

pause>nul

Goto clearauto

:clearauto2

taskkill /F /IM /IM /IM

/IM /IM /IM /IM /IM

/IM /IM /IM >nul

2>nul

For %%a In (C D E F G H I J K L M N O P Q R S T U V W X Y Z)

Do (

fsutil fsinfo drivetype %%a: |find /i "固定驱动器" && (

For /f "tokens=2 delims==" %%b In (%%a:) Do

Del /a /f /q "%%a:%%b" & md "%%a:%%b免疫目录不要删

除!..." & attrib +s +h +r "%%a:%%b" & Echo Y|cacls

"%%a:%%b" /T /C /P everyone:N >nul 2>nul

Del /a /f /q %%a: & md "%%a:免疫

目录不要删除!..." & attrib +s +h +r %%a: & Echo

Y|cacls "%%a:" /T /C /P everyone:N >nul 2>nul

) >nul 2>nul

fsutil fsinfo drivetype %%a: |find /i "可移动驱动器" && (

For /f "tokens=2 delims==" %%b In (%%a:) Do

Del /a /f /q "%%a:%%b" & md "%%a:%%b免疫目录不要删

除!..." & attrib +s +h +r "%%a:%%b" & Echo Y|cacls

"%%a:%%b" /T /C /P everyone:N >nul 2>nul

Del /a /f /q %%a: & md "%%a:免疫

目录不要删除!..." & attrib +s +h +r %%a: & Echo

Y|cacls "%%a:" /T /C /P everyone:N >nul 2>nul

) >nul 2>nul

)

cls

Echo Autorun 病毒清除并免疫完毕，任意键返回……

pause>nul

Goto clearauto

:clearauto3

cls

Echo.

Echo 正在停止相关服务……

Echo.

reg add

"HKLMSOFTWAREMicrosoftWindowsCurrentVersionpolicies

Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d

0x000000ff /f >nul 2>nul

reg add

"HKCUSOFTWAREMicrosoftWindowsCurrentVersionpolicies

Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d

0x000000ff /f >nul 2>nul

net stop ShellHWDetection >nul 2>nul

sc config ShellHWDetection start= disabled >nul 2>nul

Rem 添加防止从回收站或仿回收站的目录中直接运行可执行文件

的策略

Set

REGPATH=HKLMSOFTWAREPoliciesMicrosoftWindowsSafer

CodeIdentifiers0Paths

Set SFLAG=/v SaferFlags /t REG_DWORD /d 0x00000000 /f

Set IDATA=/f /v ItemData /d "?:Recyc?

reg

reg

reg

reg

reg

reg

reg

reg

reg

reg

reg

reg

reg

reg

reg

add

add

add

add

add

add

add

add

add

add

add

add

add

add

add

%REGPATH%{00ffa5bf-abe7-4901-aacf-

%REGPATH%{00ffa5bf-abe7-4901-aacf-

%REGPATH%{41fe7eed-c47a-46f6-840a-

%REGPATH%{41fe7eed-c47a-46f6-840a-

%REGPATH%{4e93c91c-a40e-462e-9b89-

%REGPATH%{4e93c91c-a40e-462e-9b89-

%REGPATH%{5bfc100b-d3fb-450e-88ec-

%REGPATH%{5bfc100b-d3fb-450e-88ec-

%REGPATH%{5c5e2bcd-7057-43f4-830c-

%REGPATH%{5c5e2bcd-7057-43f4-830c-

%REGPATH%{5f8ff865-0638-4c6e-98de-

%REGPATH%{5f8ff865-0638-4c6e-98de-

%REGPATH%{649c1429-0e79-453c-abe9-

%REGPATH%{649c1429-0e79-453c-abe9-

%REGPATH%{718f54b2-c669-4d7b-aeff-

4f58aa31217a} %SFLAG%>nul

4f58aa31217a} %IDATA%****.*">nul

240796fd03cf} %SFLAG%>nul

240796fd03cf} %IDATA%***.*">nul

3b0832d222d9} %SFLAG%>nul

3b0832d222d9} %IDATA%*.*">nul

6819ab56a9ff} %SFLAG%>nul

6819ab56a9ff} %IDATA%****.*">nul

e4361d2afadd} %SFLAG%>nul

e4361d2afadd} %IDATA%*.*">nul

923e7bc6b330} %SFLAG%>nul

923e7bc6b330} %IDATA%***.*">nul

b5682e035ae7} %SFLAG%>nul

b5682e035ae7} %IDATA%**.*">nul

18d69f100034} %SFLAG%>nul

reg

reg

reg

reg

reg

reg

reg

reg

reg

add

add

add

add

add

add

add

add

add

%REGPATH%{718f54b2-c669-4d7b-aeff-

%REGPATH%{8385d9d2-80c9-4ac1-a100-

%REGPATH%{8385d9d2-80c9-4ac1-a100-

%REGPATH%{af2a4fcf-441c-421e-9663-

%REGPATH%{af2a4fcf-441c-421e-9663-

%REGPATH%{b997f4b2-c037-4e97-b051-

%REGPATH%{b997f4b2-c037-4e97-b051-

%REGPATH%{d4e7b6ff-d76f-407f-b8bb-

%REGPATH%{d4e7b6ff-d76f-407f-b8bb-

18d69f100034} %IDATA%**.*">nul

ed3e62863d97} %SFLAG%>nul

ed3e62863d97} %IDATA%*.*">nul

52cd3502cfd7} %SFLAG%>nul

52cd3502cfd7} %IDATA%***.*">nul

31f5d86df802} %SFLAG%>nul

31f5d86df802} %IDATA%**.*">nul

ea0835f5babc} %SFLAG%>nul

ea0835f5babc} /f /v ItemData /d "RECYC*.*">nul

Rem 清除喜欢利用回收站的移动磁盘自动运行病毒

For %%a In (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) Do (

For %%b In (exe pif com) Do (

Echo Y|cacls "%%a:Recycler*.%%b" /C /T /P everyone:F>nul

2>nul&Echo Y|cacls "%%a:Recycled*.%%b"

2>nul&Echo

/C /T /P

everyone:F>nul Y|cacls

"%%a:RecycledRecycled*.%%b" /C /T /P everyone:F>nul 2>nul

Del /A /F /S /Q "%%a:Recycler*.%%b">nul 2>nul&Del /A

/F /S /Q "%%a:Recycled*.%%b">nul 2>nul&Del /A /F /S /Q

"%%a:RecycledRecycled*.%%b">nul 2>nul

)

)>nul 2>nul

Echo.

Echo 相关服务已停止并禁用，任意键返回……

pause >nul

Goto clearauto

:clearauto4

For %%a In (C D E F G H I J K L M N O P Q R S T U V W X Y Z)

Do (

fsutil fsinfo drivetype %%a: |find /i "固定驱动器" && (

cacls "%%a:" /T /C /P everyone:F&Del /a /f /q

"%%a:" & rd /s /q "%%a:">nul 2>nul

)>nul 2>nul

fsutil fsinfo drivetype %%a: |find /i "可移动驱动器" && (

cacls "%%a:" /T /C /P everyone:F&Del /a /f /q

"%%a:" & rd /s /q "%%a:">nul 2>nul

)>nul 2>nul

)

cls

Echo.

Echo 已经解除全部盘符的免疫，任意键返回……

pause>nul

Goto clearauto

:clearauto5

cls

Echo.

Set /p pf= 请输入盘符，如"F:"(不包括引号)

Echo 即将免疫%pf%盘……|find /i ":"||Set pf=%pf%:&&Echo 即

将免疫%pf%盘……

taskkill /F /IM /IM /IM

/IM /IM /IM /IM /IM

/IM /IM /IM >nul

2>nul

fsutil fsinfo drivetype %pf% |find /i "固定驱动器" && (

For /f "tokens=2 delims==" %%a In (%pf%) Do

Del /a /f /q "%pf%%%a" & md "%pf%%%a免疫目录不要删

除!..." & attrib +s +h +r "%pf%%%a" & Echo Y|cacls

"%pf%%%a" /T /C /P everyone:N >nul 2>nul

Del /a /f /q %pf% & md "%pf%免疫

目录不要删除!..." & attrib +s +h +r %pf% & Echo

Y|cacls "%pf%" /T /C /P everyone:N >nul 2>nul

Goto DoneclearAuto

) >nul 2>nul

fsutil fsinfo drivetype %pf% |find /i "可移动驱动器" && (

For /f "tokens=2 delims==" %%a In (%pf%) Do

Del /a /f /q "%pf%%%a" & md "%pf%%%a免疫目录不要删

除!..." & attrib +s +h +r "%pf%%%a" & Echo Y|cacls

"%pf%%%a" /T /C /P everyone:N >nul 2>nul

Del /a /f /q %pf% & md "%pf%免疫

目录不要删除!..." & attrib +s +h +r %pf% & Echo

Y|cacls "%pf%" /T /C /P everyone:N >nul 2>nul

Goto DoneclearAuto

) >nul 2>nul

Echo.

Echo 您所输入的盘符不存在或者是只读设备，

Echo 请重新输入

Goto clearauto5

:DoneclearAuto

cls

Echo.

Echo 指定的磁盘 %pf% 已经成功进行了 Autorun 病毒的清除及

免疫

Echo.

Echo [1] 继续免疫其他磁盘

Echo [0] 返回主菜单

Set /p choice= 请输入您的选择(1/0):

If %choice%="" Goto DoneclearAuto

If %choice%="1" Goto clearauto5

If %choice%="0" Goto clearauto

:clearauto6

cls

Echo.

Set /p pf= 请输入盘符，如"F:"(不包括引号)

Echo 即将取消免疫%pf%盘……|find /i ":"||Set

pf=%pf%:&&Echo 即将取消免疫%pf%盘……

fsutil fsinfo drivetype %pf% |find /i "固定驱动器" && (

cacls "%pf%" /T /C /P everyone:F&Del /a /f /q

"%pf%" & rd /s /q "%pf%">nul 2>nul

Goto DoneUnauto

)>nul 2>nul

fsutil fsinfo drivetype %pf% |find /i "可移动驱动器" && (

cacls "%pf%" /T /C /P everyone:F&Del /a /f /q

"%pf%" & rd /s /q "%pf%">nul 2>nul

Goto DoneUnauto

)>nul 2>nul

Echo.

Echo 您所输入的盘符不存在或者是只读设备，

Echo 请重新输入

Goto clearauto6

:DoneUnauto

cls

Echo.

Echo 指定的磁盘 %pf% 已经成功解除了 Autorun 病毒免疫

Echo.

Echo [1] 继续解除免疫其他磁盘

Echo [0] 返回主菜单

Set choice=

Set /p choice= 请输入您的选择(1/0):

If %choice%="" Goto DoneUnauto

If %choice%="1" Goto clearauto6

If %choice%="0" Goto clearauto

:clearauto7

cls

Rem 防止在资源管理器中彻底隐藏文件、禁止文件等

reg add

"HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplore

rAdvancedFolderHiddenSHOWALL" /v CheckedValue /t

REG_DWORD /d 0x00000001 /f>nul 2>nul

reg

MountPoints2" /f>nul 2>nul

reg

plorerDisallowRun" /f>nul 2>nul

reg

plorer" /v DisallowRun /f>nul 2>nul

Rem 防止转移启动组位置

reg add

"HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerS

hell Folders" /v Startup /d "%USERPROFILE%「开始」菜单程序

delete

"HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesEx

delete

"HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesEx

delete

"HKCUSoftwareMicrosoftWindowsCurrentVersionExplorer

启动" /f>nul 2>nul

reg add

"HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerS

hell Folders" /v "Common Startup" /d "%ALLUSERSPROFILE%

「开始」菜单程序启动" /f>nul 2>nul

Echo.

Echo 相关注册表恢复完毕，任意键返回……

pause>nul

Goto clearauto

相关阅读：2018网络安全事件：

一、英特尔处理器曝“Meltdown”和“Spectre漏洞”

2018年1月，英特尔处理器中曝“Meltdown”(熔断)和

“Spectre” (幽灵)两大新型漏洞，包括AMD、ARM、英特尔系统和

处理器在内，几乎近20年发售的所有设备都受到影响，受影响的设备

包括手机、电脑、服务器以及云计算产品。这些漏洞允许恶意程序从

其它程序的内存空间中窃取信息，这意味着包括密码、帐户信息、加

密密钥乃至其它一切在理论上可存储于内存中的信息均可能因此外泄。

二、GitHub 遭遇大规模 Memcached DDoS 攻击

2018年2月，知名代码托管网站 GitHub 遭遇史上大规模

Memcached DDoS 攻击，流量峰值高达1.35 Tbps。然而，事情才

过去五天，DDoS攻击再次刷新纪录，美国一家服务提供商遭遇DDoS

攻击的峰值创新高，达到1.7 Tbps!攻击者利用暴露在网上的

Memcached 服务器进行攻击。网络安全公司 Cloudflare 的研究人员

发现，截止2018年2月底，中国有2.5万 Memcached 服务器暴露

在网上 。

三、苹果 iOS iBoot源码泄露

2018年2月，开源代码分享网站 GitHub(软件项目托管平台)上

有人共享了 iPhone 操作系统的核心组件源码，泄露的代码属于 iOS

安全系统的重要组成部分——iBoot。iBoot 相当于是 Windows 电脑

的 BIOS 系统。此次 iBoot 源码泄露可能让数以亿计的 iOS 设备面临

安全威胁。iOS 与 MacOS 系统开发者 Jonathan Levin 表示，这是

iOS 历史上最严重的一次泄漏事件。

四、韩国平昌冬季奥运会遭遇黑客攻击

2018年2月，韩国平昌冬季奥运会开幕式当天遭遇黑客攻击，此

次攻击造成网络中断，广播系统(观众不能正常观看直播)和奥运会官网

均无法正常运作，许多观众无法打印开幕式门票，最终未能正常入场。

五、加密货币采矿软件攻击致欧洲废水处理设施瘫痪

2018年2月中旬，工业网络安全企业 Radiflow 公司表示，发现

四台接入欧洲废水处理设施运营技术网络的服务器遭遇加密货币采矿

恶意软件的入侵。该恶意软件直接拖垮了废水处理设备中的 HMI 服务

器 CPU，致欧洲废水处理服务器瘫痪 。

Radiflow 公司称，此次事故是加密货币恶意软件首次对关键基础

设施运营商的运营技术网络展开攻击。由于受感染的服务器为人机交

互(简称HMI)设备，之所以导致废水处理系统瘫痪，是因为这种恶意

软件会严重降低 HMI 的运行速度。

本文标签： 攻击病毒免疫清除