本帖最后由 hacker1990 于 2013-4-9 21:13 编辑
排查方法:
1:查看进程中有没除系统以外的进程,尝试结束后开IE测试。
2:工具的使用,AutoRuns, Process , Wsyscheck, Process Monitor.
3: 批处理的应用—反注册+僵尸占位
Regsvr32 命令的作用是将动态链接库文件注册为注册表中的命令组成
/u 解除服务器注册
/s 无声;不显示消息框
/i 调用DLLInstall,给其传递一个可选[Cmdline];跟/U一起用时,卸载Dll
/n 不要调用DllRegisterServer;这个选项必须跟/i 一起使用
列: regsvr32 c:\windows\system32\bbns.dll /u /s
MD 创建XX 文件夹
如果需要,MKDIR 会在路径中创建中级目录。例如: 假设 \a 不存在,那么: mkdir \a\b\c\d
例Md c:\windows\oyl 在C盘windows 目录下创建oyl 目录或文件
Rd 删除XX 文件夹
/S 除目录本身外,还将删除指定目录下的所有子目录和文件。用于删除目录树。
/Q 安静模式,带 /S 删除目录树时不要求确认
例:c:\windows\oyl /s /q
Del
/P 删除每一个文件之前提示确认。
/F 强制删除只读文件。
/S 删除所有子目录中的指定的文件
/Q 安静模式。删除全局通配符时,
/A 根据属性选择要删除的文件
属性 R 只读文件 S 系统文件
H 隐藏文件 A 存档文件
I 无内容索引文件 L 重分析点
例:del c:\windows\system32\bbns.dll /s /q /f
Taskkill
/S system 指定要连接的远程系统。
/U [domain\]user 指定应该在哪个用户上下文执行这个命令。
/P [password] 为提供的用户上下文指定密码。如果忽略,提示
输入。
/FI filter 应用筛选器以选择一组任务。
允许使用 "*"。例如,映像名称 eq acme*
/PID processid 指定要终止的进程的 PID。
使用 TaskList 取得 PID。
/IM imagename 指定要终止的进程的映像名称。通配符 '*'可用来
指定所有任务或映像名称。
/T 终止指定的进程和由它启用的子进程。
/F 指定强制终止进程。
例: taskkill /f /im menu.exe 结束易游侧边栏
ntsd -c q -pn ***.exe (***.exe 为进程名,exe不能省)
例: ntsd –c q –pn explorer.exe 结束Explorer.exe
Attrib
+ 设置属性。
- 清除属性。
R 只读文件属性。
A 存档文件属性。
S 系统文件属性。
H 隐藏文件属性。
/S 处理当前文件夹及其所有子文件夹中的匹配文件。
/D 也处理文件夹。
/L 处理符号链接和符号链接目标的属性。
例: attrib +s +h +R c:\windows\oyl 设置oyl 目录为系统文件属性,系统文件隐藏,只读。
Calcs
/T 更改当前目录及其所有子目录中
/L 对照目标处理符号链接本身
/M 更改装载到目录的卷的 ACL
/S 显示 DACL 的 SDDL 字符串。
/E 编辑 ACL 而不替换。
/C 在出现拒绝访问错误时继续。
/G user:perm 赋予指定用户访问权限。
Perm 可以是: R 读取
W 写入
例:cacls c:\windows\oyl /e /c /d everyone 拒绝用户访问 c:\windows\oyl 文件夹
echo y|cacls /p 恢复被锁定的权限 Everyone:f 恢复所有用户的完全使用权限
例:echo y|cacls c:\windows\oyl" /c /p everyone:f Echo 打开回显或关闭请求回显功能,或显示消息。如果没有任何参数,echo 命令将显示当前回显设置。 Reg add 添加注册表 /v 所选项之下要添加的值名 /ve 为注册表项添加空白值名<无名称> /t RegKey 数据类型 例:REG ADD "HKCU\Control Panel\Desktop" /v Wallpaper /t REG_SZ /d "" /f Reg delete 删除注册表 例: delete “KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BROWSER HELPER OBJECTS\{524F94CD-71CB-4CCD-81B1-58F4F6F51BFF}” /f Regini 1 - Administrators 完全访问 2 - Administrators 只读访问 3 - Administrators 读和写入访问 4 - Administrators 读、写入、删除访问 5 - Creator 完全访问 6 - Creator 读和写入访问 7 - everyone 完全访问 8 - everyone 只读访问 9 - everyone 读和写入访问 10 - everyone 读、写入、删除访问 11 - Power Users 完全访问 12 - Power Users 读和写入访问 13 - Power Users 读、写入、删除访问 14 - System Operators 完全访问 15 - System Operators 读和写入访问 16 - System Operators 读、写入、删除访问 17 - System 完全访问 18 - System 读和写入访问 19 - System 只读访问 20 - Administrators 读、写、执行访问 21 - Interactive User 完全访问 22 - Interactive User 读和写入访问 23 - Interactive User 读、写入、删除访问 例: ECHO HKEY_CURRENT_USER\Control Panel\Desktop [2 8 19]>regini.ini Regini regini.ini %userprofile%\桌面\ 用户桌面 例:cd %userprofile%\桌面\ %temp% 临时文件夹 例:cd %temp% %SystemRoot%\ Windows %USERPROFILE% C:\Documents and Settings\Administrator 通过以上常用命令,正对新疆喀什地区“矮哨兵”抢首页,抢桌面做一个现场演示! for /f "delims=" %%i in ('dir /b/s "%temp%\iehelper.dll"') do (regsvr32 /u /s "%%i") 查找%temp% 目录下有没 iehelper.dll 执行反注册! |