这个十分恶心,
它会隐藏 自己,并且不能修改隐藏属性。
第一步。crtl+alt+delete调出任务管理器,kill 一个名叫SVCHOST 的进程 注意它是大写,而且显示的用户名不是SYSTEM
第二步。调用这个delAuto.bat
reg import delRavMonExe.reg
attrib -h -r -s C:/ravmon.*
attrib -h -r -s C:/SCVHOST.*
attrib -h -r -s C:/autorun.*
del /q /f C:/ravmon.*
del /q /f C:/windows/SVCHOST.*
del /q /f C:/windows/mdm.exe
del /q /f C:/windows/prefech/ravmon*.*
del /q /f C:/windows/prefech/SVCHOST*.*
del /q /f C:/autorun.*
attrib -h -r -s D:/ravmon.*
attrib -h -r -s D:/autorun.*
del /q /f D:/ravmon.*
del /q /f D:/autorun.*
attrib -h -r -s E:/ravmon.*
attrib -h -r -s E:/autorun.*
del /q /f E:/ravmon.*
del /q /f E:/autorun.*
attrib -h -r -s F:/ravmon.*
attrib -h -r -s F:/autorun.*
del /q /f F:/ravmon.*
del /q /f F:/autorun.*
attrib -h -r -s G:/ravmon.*
attrib -h -r -s G:/autorun.*
del /q /f G:/ravmon.*
del /q /f G:/autorun.*
attrib -h -r -s I:/ravmon.*
attrib -h -r -s I:/autorun.*
del /q /f I:/ravmon.*
del /q /f I:/autorun.*
attrib -h -r -s j:/ravmon.*
attrib -h -r -s j:/autorun.*
del /q /f j:/ravmon.*
del /q /f j:/autorun.*
attrib -h -r -s K:/ravmon.*
attrib -h -r -s K:/autorun.*
del /q /f K:/ravmon.*
del /q /f K:/autorun.*
attrib -h -r -s L:/ravmon.*
attrib -h -r -s L:/autorun.*
del /q /f L:/ravmon.*
del /q /f L:/autorun.*
attrib -h -r -s M:/ravmon.*
attrib -h -r -s M:/autorun.*
del /q /f M:/ravmon.*
del /q /f M:/autorun.*
attrib -h -r -s N:/ravmon.*
attrib -h -r -s N:/autorun.*
del /q /f N:/ravmon.*
del /q /f N:/autorun.*
attrib -h -r -s O:/ravmon.*
attrib -h -r -s O:/autorun.*
del /q /f O:/ravmon.*
del /q /f O:/autorun.*
attrib -h -r -s P:/ravmon.*
attrib -h -r -s P:/autorun.*
del /q /f P:/ravmon.*
del /q /f P:/autorun.*
attrib -h -r -s Q:/ravmon.*
attrib -h -r -s Q:/autorun.*
del /q /f Q:/ravmon.*
del /q /f Q:/autorun.*
attrib -h -r -s R:/ravmon.*
attrib -h -r -s R:/autorun.*
del /q /f R:/ravmon.*
del /q /f R:/autorun.*
attrib -h -r -s S:/ravmon.*
attrib -h -r -s S:/autorun.*
del /q /f S:/ravmon.*
del /q /f S:/autorun.*
attrib -h -r -s T:/ravmon.*
attrib -h -r -s T:/autorun.*
del /q /f T:/ravmon.*
del /q /f T:/autorun.*
attrib -h -r -s U:/ravmon.*
attrib -h -r -s U:/autorun.*
del /q /f U:/ravmon.*
del /q /f U:/autorun.*
attrib -h -r -s V:/ravmon.*
attrib -h -r -s V:/autorun.*
del /q /f V:/ravmon.*
del /q /f V:/autorun.*
attrib -h -r -s W:/ravmon.*
attrib -h -r -s W:/autorun.*
del /q /f W:/ravmon.*
del /q /f W:/autorun.*
attrib -h -r -s X:/ravmon.*
attrib -h -r -s X:/autorun.*
del /q /f X:/ravmon.*
del /q /f X:/autorun.*
attrib -h -r -s Y:/ravmon.*
attrib -h -r -s Y:/autorun.*
del /q /f Y:/ravmon.*
del /q /f Y:/autorun.*
attrib -h -r -s Z:/ravmon.*
attrib -h -r -s Z:/autorun.*
del /q /f Z:/ravmon.*
del /q /f Z:/autorun.*
pause
reg import delRavMonExe.reg
其中第一项,和最后一项是恢复注册表,一般只要一次就可以,但为了安全起见。
delRavMonExe.reg的内容如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden]
"Text"="@shell32.dll,-30499"
"Type"="group"
"Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,/
00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,/
48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,/
00
"HelpID"="shell.hlp#51131"
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/NOHIDDEN]
"RegPath"="Software//Microsoft//Windows//CurrentVersion//Explorer//Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL]
"RegPath"="Software//Microsoft//Windows//CurrentVersion//Explorer//Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
文件结束了---------,调用delAtuo.bat 就可以了。
上面是个很笨的方法,但只要能用就可以了,
但还不能算是自动,最好是写个exe,步骤如下;(没有去写,懒)
HANDLE OpenProcess(
DWORD dwDesiredAccess, // access flag
BOOL bInheritHandle, // handle inheritance option
DWORD dwProcessId // process identifier
);
dwDesiredAccess 用 PROCESS_TERMINATE
然后 把句柄传给
BOOL TerminateProcess(
HANDLE hProcess, // handle to the process
UINT uExitCode // exit code for the process );
终止这个SVCHOST.exe,再
接着UINT GetDriveType(
LPCTSTR lpRootPathName // root directory
);
BOOL DeleteFile(
LPCTSTR lpFileName // file name
);