用批处理文件捉木马

Author: 悟非 Date: 2001年 9期

    虽然现在已是Windows时代了，但Windows98每次启动时还要加载一个DOS程序Autoexec.bat ，我们可以再来发挥一下它的余热。在这里我向大家介绍一种用批处理文件查杀木马程序的方法。程序如下：
　　    echo off
　　    rem 本批处理文件用于查找和清除常见的木马程序
　　    rem 本文件名为kill.bat
　　    rem 本文件应放在C盘根目录下，并在autoexec.bat中加入命令call c:\kill.bat
　　    rem 这里假定Windows95/98系统安装在“c:\windows”目录下
　　    rem 若你所用Windows系统安装在其它的目录下，请更改“c:\windows”为相应的目录
　　    rem 此次操作的详细结果存放在kill.txt文件中，下次重新启动系统时会自动显示
　　    c:??
　　    cd\
　　    if exist c:\windows\StartM~1\programs\启动\kill.txt del c:\windows\StartM~1\prog
　　    rams\启动\kill.txt
　　    if exist c:\system.dup goto system
　　    if exist c:\windows\system\netspy.exe goto netspy
　　    if exist c:\windows\system\spynotify.exe goto spynotify
　　    if exist c:\windows\system\.exe goto bo
　　    goto end
　　    :netspy
　　    echo 在你的机器中发现有netspy.exe木马程序。>c:\windows\StartM~1\programs\启动\kill.txt
　　    del c:\windows\system\netspy.exe
　　    if exist c:\windows\system\netspy.exe goto help
　　    goto ok
　　    :spynotify
　　    echo 在你的机器中发现有spynotify木马程序。>c:\windows\StartM~1\programs\启动\kill.txt
　　    del c:\windows\system\spynotify.exe
　　    if exist c:\windows\system\spynotify.exe goto help
　　    goto ok
　　    :bo
　　    echo 在你的机器中发现有bo木马程序。>c:\windows\StartM~1\programs\启动\kill.txt
　　    del c:\windows\system\.exe
　　    if exist c:\windows\system\.exe goto help
　　    goto ok
　　    :system
　　    echo 在C盘根目录发现systemdup。>c?焪indows\StartM~1\programs\启动\kill.txt
　　    echo 你的机器密码已被攻击者窃取请立即更换密码>>c:\windows\StartM~\programs\启动\kill.txt
　　    del c:\system.dup
　　    if exist c:\system.dup goto help
　　    echo 已成功删除了systemdup>c:\windows\StartM~1\programs\启动\kill.txt
　　    goto end
　　    :ok
　　    echo 已成功地删除了木马程序，请到注册表中清理一下>>c:\windows\StartM~1\programs\启动\kill.txt
　　    goto end
　　    :help
　　    echo 删除失败，可能是硬盘写保护或文件正在使用。>>c:\windows\StartM~1\programs\启动\kill.txt
　　    echo 请修改注册表或请计算机高手帮忙。>>c:\windows\StartM~1\programs\启动\kill.txt
　　    :end
　　    如果发现了更新的木马程序，我们还可以依照上面的格式，自己把删除木马程序的命令添加到kill.bat文件中，让该批处理文件帮助我们自动删除可恶的木马程序。
　　
　　