今天逛WZ,看到這個,比較有意思的是那兩個久違的DOS批處理命令.

今天通過遠程連接幫一個不太懂電腦的朋友清病毒?？吹揭欢裷unauto..目錄，再看進程中有c:\windows\dllhost.exe，確定是灰鴿子07.

查到的手動清除方法很多要求安裝iceswords或者到安全模式。但遠程控制下做這些都很不方便（網絡也比較慢）。先嘗試了在命令行把taskkill和delete寫在一行的方式殺掉dllhost進程并刪除文件，結果發(fā)現(xiàn)dllhost很快就重建進程并鎖定dllhost.exe，造成刪除總是失敗。

后來發(fā)現(xiàn)一個以暴制暴的辦法，很簡單，開兩個命令行窗口，分別執(zhí)行：
第一個cmd窗口中執(zhí)行：for /l %a in (1,0,2) do taskkill /f /im dllhost.exe 

第二個cmd窗口中執(zhí)行：for /l %a in (1,0,2) do attrib -h -s -r c:\windows\dllhost.exe & del c:\windows\dllhost.exe



剛開始還會看到文件刪除不了的錯誤。等幾秒就發(fā)現(xiàn)已成功刪除，表現(xiàn)為taskkill報告找不到進程；attrib和del報告找不到文件。這時用ctrl+c中止這兩個死循環(huán)即可。

原理很簡單，這兩個都是死循環(huán)（從1循環(huán)到2，但步長為0），一個拼命殺，一個拼命刪?？倳龅侥敲匆粋€時間點，剛好del可以在進程重建前殺掉。

目前朋友的三臺機器都這樣成功清除。當然在這之后要記得把setuprs1.pif刪除，并把注冊表中cmd.exe, regedit.exe的IFEO劫持刪除。

最新評論