今天逛WZ,看到這個(gè),比較有意思的是那兩個(gè)久違的DOS批處理命令.

今天通過(guò)遠(yuǎn)程連接幫一個(gè)不太懂電腦的朋友清病毒。看到一堆runauto..目錄，再看進(jìn)程中有c:\windows\dllhost.exe，確定是灰鴿子07.

查到的手動(dòng)清除方法很多要求安裝iceswords或者到安全模式。但遠(yuǎn)程控制下做這些都很不方便（網(wǎng)絡(luò)也比較慢）。先嘗試了在命令行把taskkill和delete寫在一行的方式殺掉dllhost進(jìn)程并刪除文件，結(jié)果發(fā)現(xiàn)dllhost很快就重建進(jìn)程并鎖定dllhost.exe，造成刪除總是失敗。

后來(lái)發(fā)現(xiàn)一個(gè)以暴制暴的辦法，很簡(jiǎn)單，開兩個(gè)命令行窗口，分別執(zhí)行：
第一個(gè)cmd窗口中執(zhí)行：for /l %a in (1,0,2) do taskkill /f /im dllhost.exe 

第二個(gè)cmd窗口中執(zhí)行：for /l %a in (1,0,2) do attrib -h -s -r c:\windows\dllhost.exe & del c:\windows\dllhost.exe



剛開始還會(huì)看到文件刪除不了的錯(cuò)誤。等幾秒就發(fā)現(xiàn)已成功刪除，表現(xiàn)為taskkill報(bào)告找不到進(jìn)程；attrib和del報(bào)告找不到文件。這時(shí)用ctrl+c中止這兩個(gè)死循環(huán)即可。

原理很簡(jiǎn)單，這兩個(gè)都是死循環(huán)（從1循環(huán)到2，但步長(zhǎng)為0），一個(gè)拼命殺，一個(gè)拼命刪。總會(huì)遇到那么一個(gè)時(shí)間點(diǎn)，剛好del可以在進(jìn)程重建前殺掉。

目前朋友的三臺(tái)機(jī)器都這樣成功清除。當(dāng)然在這之后要記得把setuprs1.pif刪除，并把注冊(cè)表中cmd.exe, regedit.exe的IFEO劫持刪除。

最新評(píng)論