学步园

清除svchost病毒

不像，既然木马插入了svchost干嘛还要改启动项？svchost本身随系统启动啊

1.清除病毒. 

@echo off 

title alonesuperman收集.. 

color 0a 

mode con cols=96 lines=30 

rem 强制结束用户名为 当前登录的用户的svchost.exe这个进程。 

taskkill /fi "username eq %username%" /im svchost.exe /f 

rem 去掉源病毒文件的各项属性。 

attrib -s -h -r %windir%/svchost.exe 

attrib -s -h -r %windir%/SVCHOST.INI 

rem 强制删除源病毒文件。 

del %windir%/svchost.exe /q 

del %windir%/SVCHOST.INI /q 

rem 去除其它分区的病毒文件的属性。 

for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:/nul attrib -s -h -r %%d:/autorun.inf 

for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:/nul attrib -s -h -r %%d:/ravmon.exe 

rem 删除其它分区的病毒文件。 

for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:/nul del %%d:/autorun.inf /q 

for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:/nul del %%d:/ravmon.exe /q 

rem 删除假的“显示隐藏和文件和文件夹”这个注册表项。 

reg delete "HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run" /v SVOHOST /f 

rem 添加正确的“显示隐藏和文件和文件夹”这个注册表项。 

reg add "HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL" /v CheckedValue /t reg_dword /d 1 /f 

rem 删除启动项里的svchost这个病毒创建的项。 

reg delete "HKLM/Software/Microsoft/Windows/CurrentVersion/Run" /v svchost /f 

rem cls 

echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓ 

echo 该病毒清除完毕，按回车进入磁盘检查，解决分区无法双击打开 

echo 你的有些分区可能不能用双击打开，你只要把打开方式选择为 

echo InternetExplorer然后下次双击就能打开了，如果是C盘打不开的话， 

echo 重启一下就可以了。 

echo. 

echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓ 

set /p tmp=所有操作结束，按回车键退出该程序。 

2.解决双击无法打开: 

@echo off 

title gege整理.. 

color 0a 

echo 例如：D盘无法打开则输入 d 

set /p input=[请输入无法打开的分区的盘符] 

if /i "%input%"=="c" goto :特殊 

attrib -s -h -r %input%:/autorun.inf 

cls 

del %input%:/autorun.inf /q 

cls 

reg delete "HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run" /v SVOHOST /f 

cls 

reg delete "HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL" /v CheckedValue /f 

rem 添加正确的“显示隐藏和文件和文件夹”这个注册表项。 

reg add "HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL" /v CheckedValue /t reg_dword /d 1 /f 

cls 

chkdsk %input%: /f /x 

cls 

set /p tmp=操作结束,按回车键退出该程序。 

:exit 

exit 

:特殊 

attrib -s -h -r %input%:/autorun.inf 

del %input%:/autorun.inf /q 

echo 操作成功结束，请重启，然后就可以双击就可以打开了。 

echo 如果重启之后，还是无法双击打开的话，说明你的电脑 

echo 里还有病毒，请先杀毒。然后再运行该程序。 

set /p tmp=操作结束，按回车键退出该程序 

把上面的两大段分别复制到记事本里,保存为任意名字.bat的格式,运行就可以了! 保存类型为“所有文件”