清除svchost病毒

清除svchost病毒

不像，既然木马插入了svchost干嘛还要改启动项？svchost本身随系统启动啊

1.清除病毒.

@echo off

title alonesuperman收集..

color 0a

mode con cols=96 lines=30

rem 强制结束用户名为 当前登录的用户的svchost.exe这个进程。

taskkill /fi "username eq %username%" /im svchost.exe /f

rem 去掉源病毒文件的各项属性。

attrib -s -h -r %windir%\svchost.exe

attrib -s -h -r %windir%\SVCHOST.INI

rem 强制删除源病毒文件。

del %windir%\svchost.exe /q

del %windir%\SVCHOST.INI /q

rem 去除其它分区的病毒文件的属性。

for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\nul attrib -s -h -r %%d:\autorun.inf

for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\nul attrib -s -h -r %%d:\ravmon.exe

rem 删除其它分区的病毒文件。

for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\nul del %%d:\autorun.inf /q

for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\nul del %%d:\ravmon.exe /q

rem 删除假的“显示隐藏和文件和文件夹”这个注册表项。

reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v SVOHOST /f

rem 添加正确的“显示隐藏和文件和文件夹”这个注册表项。

reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /t reg_dword /d 1 /f

rem 删除启动项里的svchost这个病毒创建的项。

reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /v svchost /f

rem cls

echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓

echo 该病毒清除完毕，按回车进入磁盘检查，解决分区无法双击打开

echo 你的有些分区可能不能用双击打开，你只要把打开方式选择为

echo InternetExplorer然后下次双击就能打开了，如果是C盘打不开的话，

echo 重启一下就可以了。

echo.

echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓

set /p tmp=所有操作结束，按回车键退出该程序。

2.解决双击无法打开:

@echo off

title gege整理..

color 0a

echo 例如：D盘无法打开则输入 d

set /p input=[请输入无法打开的分区的盘符]

if /i "%input%"=="c" goto :特殊

attrib -s -h -r %input%:\autorun.inf

cls

del %input%:\autorun.inf /q

cls

reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v SVOHOST /f

cls

reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /f

rem 添加正确的“显示隐藏和文件和文件夹”这个注册表项。

reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /t reg_dword /d 1 /f

cls

chkdsk %input%: /f /x

cls

set /p tmp=操作结束,按回车键退出该程序。

:exit

exit

:特殊

attrib -s -h -r %input%:\autorun.inf

del %input%:\autorun.inf /q

echo 操作成功结束，请重启，然后就可以双击就可以打开了。

echo 如果重启之后，还是无法双击打开的话，说明你的电脑

echo 里还有病毒，请先杀毒。然后再运行该程序。

set /p tmp=操作结束，按回车键退出该程序

把上面的两大段分别复制到记事本里,保存为任意名字.bat的格式,运行就可以了! 保存类型为“所有文件”