找回密码
 加入网盟
分割线
官方精品推荐
本帖最后由 hacker1990 于 2013-4-9 21:13 编辑

排查方法:
1:查看进程中有没除系统以外的进程,尝试结束后开IE测试。
2:工具的使用,AutoRuns, Process , Wsyscheck, Process Monitor.
3: 批处理的应用—反注册+僵尸占位

Regsvr32  命令的作用是将动态链接库文件注册为注册表中的命令组成
/u 解除服务器注册
/s 无声;不显示消息框
/i 调用DLLInstall,给其传递一个可选[Cmdline];跟/U一起用时,卸载Dll
/n 不要调用DllRegisterServer;这个选项必须跟/i 一起使用

: regsvr32 c:\windows\system32\bbns.dll /u /s


MD 创建XX 文件夹
如果需要,MKDIR 会在路径中创建中级目录。例如: 假设 \a 不存在,那么: mkdir \a\b\c\d
Md c:\windows\oyl   在C盘windows 目录下创建oyl 目录或文件

Rd   删除XX 文件夹  
/S  除目录本身外,还将删除指定目录下的所有子目录和文件。用于删除目录树。
/Q  安静模式,带 /S 删除目录树时不要求确认
:c:\windows\oyl /s /q

Del
/P            删除每一个文件之前提示确认。
/F            强制删除只读文件。
/S            删除所有子目录中的指定的文件
/Q            安静模式。删除全局通配符时,
/A            根据属性选择要删除的文件
属性          R  只读文件                     S  系统文件
              H  隐藏文件                     A  存档文件
              I  无内容索引文件               L  重分析点

del c:\windows\system32\bbns.dll /s /q /f

Taskkill
    /S    system           指定要连接的远程系统。

    /U    [domain\]user    指定应该在哪个用户上下文执行这个命令。

    /P    [password]       为提供的用户上下文指定密码。如果忽略,提示
                           输入。

    /FI   filter           应用筛选器以选择一组任务。
                           允许使用 "*"。例如,映像名称 eq acme*

    /PID  processid        指定要终止的进程的 PID
                           使用 TaskList 取得 PID

    /IM   imagename        指定要终止的进程的映像名称。通配符 '*'可用来
                           指定所有任务或映像名称。

    /T                     终止指定的进程和由它启用的子进程。

/F                     指定强制终止进程。

: taskkill /f /im menu.exe    结束易游侧边栏

ntsd -c q -pn ***.exe (***.exe 为进程名,exe不能省)

: ntsd –c q –pn explorer.exe  结束Explorer.exe

Attrib
+ 设置属性。
- 清除属性。
R 只读文件属性。
A 存档文件属性。
S 系统文件属性。
H 隐藏文件属性。
/S 处理当前文件夹及其所有子文件夹中的匹配文件。
/D 也处理文件夹。
/L 处理符号链接和符号链接目标的属性。

: attrib +s +h +R c:\windows\oyl   设置oyl 目录为系统文件属性,系统文件隐藏,只读。

Calcs
/T            更改当前目录及其所有子目录中
/L            对照目标处理符号链接本身
/M            更改装载到目录的卷的 ACL
/S            显示 DACL 的 SDDL 字符串。
/E            编辑 ACL 而不替换。
/C            在出现拒绝访问错误时继续。
/G user:perm  赋予指定用户访问权限。
              Perm 可以是: R  读取
                           W  写入

例:cacls c:\windows\oyl /e /c /d everyone  拒绝用户访问 c:\windows\oyl 文件夹

echo y|cacls  /p  恢复被锁定的权限 Everyone:f 恢复所有用户的完全使用权限

例:echo y|cacls c:\windows\oyl" /c /p everyone:f
Echo
打开回显或关闭请求回显功能,或显示消息。如果没有任何参数,echo 命令将显示当前回显设置。
Reg add           添加注册表
/v 所选项之下要添加的值名
/ve 为注册表项添加空白值名<无名称>
/t RegKey 数据类型
例:REG ADD "HKCU\Control Panel\Desktop" /v Wallpaper /t REG_SZ /d "" /f
Reg delete        删除注册表
例: delete “KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BROWSER HELPER OBJECTS\{524F94CD-71CB-4CCD-81B1-58F4F6F51BFF}” /f
Regini
1 - Administrators 完全访问
2 - Administrators 只读访问
3 - Administrators 读和写入访问
4 - Administrators 读、写入、删除访问
5 - Creator 完全访问
6 - Creator 读和写入访问
7 - everyone 完全访问
8 - everyone 只读访问
9 - everyone 读和写入访问
10 - everyone 读、写入、删除访问
11 - Power Users 完全访问
12 - Power Users 读和写入访问
13 - Power Users 读、写入、删除访问
14 - System Operators 完全访问
15 - System Operators 读和写入访问
16 - System Operators 读、写入、删除访问
17 - System 完全访问
18 - System 读和写入访问
19 - System 只读访问
20 - Administrators 读、写、执行访问
21 - Interactive User 完全访问
22 - Interactive User 读和写入访问
23 - Interactive User 读、写入、删除访问
例:
ECHO HKEY_CURRENT_USER\Control Panel\Desktop [2 8 19]>regini.ini
Regini  regini.ini
%userprofile%\桌面\           用户桌面
例:cd %userprofile%\桌面\
%temp%                     临时文件夹
例:cd %temp%
%SystemRoot%\              Windows
%USERPROFILE%              C:\Documents and Settings\Administrator
通过以上常用命令,正对新疆喀什地区“矮哨兵”抢首页,抢桌面做一个现场演示!
for /f "delims=" %%i in ('dir /b/s "%temp%\iehelper.dll"') do (regsvr32 /u /s "%%i")
查找%temp% 目录下有没 iehelper.dll 执行反注册!
分享至 : QQ空间
收藏

1 个回复

倒序浏览
qfww 11 2013-4-10 11:06:22
2#
很详细的说明啊,先学习了。谢谢分享!
回复 使用道具 举报
您需要登录后才可以回帖 登录 | 加入网盟
关闭

华夏网盟推荐 上一条 /1 下一条