无忧启动论坛

 找回密码
 注册
搜索
系统gho:最纯净好用系统下载站投放广告、加入VIP会员,请联系 微信:wuyouceo
查看: 11390|回复: 31
打印 上一主题 下一主题

[求助] 求个批处理,删除固定大小的exe文件

[复制链接]
跳转到指定楼层
1#
发表于 2016-12-25 19:44:22 | 只看该作者 |只看大图 回帖奖励 |倒序浏览 |阅读模式
推荐
发表于 2016-12-25 21:59:39 | 只看该作者
如果楼主不是做专杀工具大批量使用的话,不建议使用批处理,一个杀毒软件比较省事。比如,装个小a,开机扫一下

如果你确实需要的话,12345678是文件大小,单位字节,exe是文件后缀。
  1. wmic datafile where "filesize='12345678' and extension='exe'" call delete
复制代码
回复

使用道具 举报

2#
发表于 2016-12-25 20:22:34 | 只看该作者
杀毒最好还是还是用杀软吧,批处理主要是用来处理重复工作的。处理病毒的话,除非病毒未运行,效果不大。
回复

使用道具 举报

3#
发表于 2016-12-25 21:03:42 | 只看该作者
本帖最后由 gy0715 于 2016-12-25 22:26 编辑

可以这样玩玩吗?   文件查找SearchMyFiles2.77.zip (107.58 KB, 下载次数: 17)

1.jpg (120.19 KB, 下载次数: 88)

1.jpg
回复

使用道具 举报

4#
 楼主| 发表于 2016-12-25 21:39:36 | 只看该作者
这是个什么东西?
现在是靠win的搜索,一搜一下午,删除又得半夜,几万个文件,非常慢。
回复

使用道具 举报

5#
发表于 2016-12-25 21:41:15 | 只看该作者
推荐卡巴斯基杀毒工具,在PE运行。

http://devbuilds.kaspersky-labs. ... atest/full/KVRT.exe
回复

使用道具 举报

7#
 楼主| 发表于 2016-12-25 22:11:39 | 只看该作者
本帖最后由 窄口牛 于 2016-12-25 22:12 编辑

谢谢大师!!解决大问题了。
这个范围是?所在目录的所有?
回复

使用道具 举报

8#
 楼主| 发表于 2016-12-25 22:21:33 | 只看该作者
我将获取到的两个值都试了一遍,没有反应

点评

功能不是特别完整的PE是不支持wmic的,可以肯定的是boot.wim是支持的!  详情 回复 发表于 2016-12-25 22:29
回复

使用道具 举报

9#
 楼主| 发表于 2016-12-25 22:25:05 | 只看该作者
回复

使用道具 举报

10#
发表于 2016-12-25 22:29:29 | 只看该作者
窄口牛 发表于 2016-12-25 22:21
我将获取到的两个值都试了一遍,没有反应

功能不是特别完整的PE是不支持wmic的,可以肯定的是boot.wim是支持的!
回复

使用道具 举报

11#
 楼主| 发表于 2016-12-25 22:32:26 | 只看该作者
本帖最后由 窄口牛 于 2016-12-25 22:33 编辑

这个好,很轻松一下就是一万个,不过删除还是需要大量时间。


还有就是它删除没个进度啥的。
回复

使用道具 举报

12#
 楼主| 发表于 2016-12-25 22:35:24 | 只看该作者
这个不是pe,是win2008r2,系统里面。这个病毒是文件夹病毒变异,通过局域网传播的,系统已经装有杀毒软件,但是共享文件及里会产生很多这种文件夹.exe

点评

貌似是一种古老的自动运行病毒,主流的杀毒软件都能杀掉。  详情 回复 发表于 2016-12-25 22:41
回复

使用道具 举报

13#
 楼主| 发表于 2016-12-25 22:39:12 | 只看该作者
之前win搜索删除了一万多,刚才这个工具删了一万,现在又是一万多。

回复

使用道具 举报

14#
 楼主| 发表于 2016-12-25 22:40:56 | 只看该作者
searchmyfiles
这个工具,不错。
我是想搞个批处理,每天定时工作,自己删除的。工具只能偶尔搞搞。

点评

你这解决问题的方向不对,治标不治本 还不如让所有机器杀杀毒,禁止自动播放功能,即使找个“文件夹.exe专杀”也比批处理每天删的好。  详情 回复 发表于 2016-12-25 22:48
回复

使用道具 举报

15#
发表于 2016-12-25 22:41:06 | 只看该作者
窄口牛 发表于 2016-12-25 22:35
这个不是pe,是win2008r2,系统里面。这个病毒是文件夹病毒变异,通过局域网传播的,系统已经装有杀毒软件 ...
文件夹.exe


貌似是一种古老的自动运行病毒,主流的杀毒软件都能杀掉。
回复

使用道具 举报

16#
 楼主| 发表于 2016-12-25 22:46:12 | 只看该作者
杀不了的,这个是变种。

点评

传来时!  详情 回复 发表于 2016-12-25 22:49
回复

使用道具 举报

17#
发表于 2016-12-25 22:48:15 | 只看该作者
窄口牛 发表于 2016-12-25 22:40
searchmyfiles
这个工具,不错。
我是想搞个批处理,每天定时工作,自己删除的。工具只能偶尔搞搞。

你这解决问题的方向不对,治标不治本

还不如让所有机器杀杀毒,禁止自动播放功能,即使找个“文件夹.exe专杀”也比批处理每天删的好。
回复

使用道具 举报

18#
发表于 2016-12-25 22:49:05 | 只看该作者
窄口牛 发表于 2016-12-25 22:46
杀不了的,这个是变种。


传上来!
回复

使用道具 举报

19#
 楼主| 发表于 2016-12-25 22:57:11 | 只看该作者
改天传多引擎扫描结果

点评

我是说文件传上来。。。  详情 回复 发表于 2016-12-25 23:05
回复

使用道具 举报

20#
发表于 2016-12-25 23:05:09 | 只看该作者
窄口牛 发表于 2016-12-25 22:57
改天传多引擎扫描结果

我是说文件传上来。。。
回复

使用道具 举报

21#
发表于 2016-12-26 00:08:44 来自手机 | 只看该作者
自动运行的病毒,进PE杀毒能否清除。楼主能确定这病毒除了占用磁盘空间就没其它破坏作用吗?实在不行的话,可以先备份HKCR\.exe,然后破坏此键。将自己想要运行的EXE改后缀名为com(包括regedit),杀毒,用regedit.com 还原注册表。
回复

使用道具 举报

22#
 楼主| 发表于 2016-12-26 09:44:52 来自手机 | 只看该作者
是从局域网可写共享进来的,和本机系统无关。

点评

稍等。 现在系统里有mse,以前它还管,现在没反应了。  详情 回复 发表于 2016-12-26 09:46
回复

使用道具 举报

23#
 楼主| 发表于 2016-12-26 09:46:30 来自手机 | 只看该作者
窄口牛 发表于 2016-12-26 09:44
是从局域网可写共享进来的,和本机系统无关。

稍等。
现在系统里有mse,以前它还管,现在没反应了。

Screenshot_2016-12-26-09-35-22.png (103.01 KB, 下载次数: 108)

Screenshot_2016-12-26-09-35-22.png
回复

使用道具 举报

24#
发表于 2016-12-26 12:05:29 | 只看该作者
本帖最后由 ku588 于 2016-12-26 12:08 编辑

治理方向不对,治病除根,你删的不如病毒造的快,没什么用,你必须把造毒机器干死,然后再清理余孽才行,别治标不治本!

必须强力杀软除根,用国内的杀软吗估计没戏!
回复

使用道具 举报

25#
 楼主| 发表于 2016-12-26 20:34:51 | 只看该作者
MD5: 61054f696e8e6335cc55ce82627b8d5f
文件类型: Autoit
出品公司:  
版本: 3.2.4.9---3, 2, 4, 9
壳或编译器信息: PACKER:UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay]
子文件信息: AutoItScript / 544e814e24974b549a1054d2685f4ea5 / Unknown

关键行为
行为描述: 在根目录创建自运行文件
详情信息: C:\DiskX\autorun.inf
行为描述: 设置特殊文件属性
详情信息: C:\WINDOWS\system32\SSVICHOSST.exe
行为描述: 修改注册表_启动项
详情信息: \REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Run\Yahoo Messengger

进程行为
行为描述: 隐藏窗口创建进程
详情信息: ImagePath = , CmdLine = c:\windows\system32\cmd.exe /c at /delete /yes
ImagePath = , CmdLine = c:\windows\system32\cmd.exe /c at 09:00 /interactive /every:m,t,w,th,f,s,su c:\windows\system32\ssvichosst.exe
行为描述: 创建进程
详情信息: ImagePath = C:\WINDOWS\system32\cmd.exe, CmdLine = C:\WINDOWS\system32\cmd.exe /C AT /delete /yes
ImagePath = C:\WINDOWS\system32\at.exe, CmdLine = AT /delete /yes
ImagePath = C:\WINDOWS\system32\cmd.exe, CmdLine = C:\WINDOWS\system32\cmd.exe /C AT 09:00 /interactive /EVERY:m,t,w,th,f,s,su C:\WINDOWS\system32\SSVICHOSST.exe
ImagePath = C:\WINDOWS\system32\at.exe, CmdLine = AT 09:00 /interactive /EVERY:m,t,w,th,f,s,su C:\WINDOWS\system32\SSVICHOSST.exe
行为描述: 创建本地线程
详情信息: C:\Documents and Settings\Administrator\Local Settings\%temp%\1458474970.549419.exe
C:\Documents and Settings\Administrator\Local Settings\%temp%\1458474970.549744.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\at.exe
行为描述: 进程退出
详情信息: N/A
行为描述: 枚举进程
详情信息: N/A

文件行为
行为描述: 创建文件
详情信息: C:\WINDOWS\system32\SSVICHOSST.exe
C:\WINDOWS\SSVICHOSST.exe
C:\WINDOWS\system32\autorun.ini
C:\DiskX\New Folder.exe
C:\DiskX\SSVICHOSST.exe
行为描述: 创建可执行文件
详情信息: C:\WINDOWS\system32\SSVICHOSST.exe
C:\WINDOWS\SSVICHOSST.exe
C:\DiskX\New Folder.exe
C:\DiskX\SSVICHOSST.exe
行为描述: 复制文件
详情信息: C:\Documents and Settings\Administrator\Local Settings\%temp%\1458474970.557612.exe ---> C:\WINDOWS\system32\SSVICHOSST.exe  
C:\Documents and Settings\Administrator\Local Settings\%temp%\1458474970.557991.exe ---> C:\WINDOWS\SSVICHOSST.exe  
C:\WINDOWS\SSVICHOSST.exe ---> x:\New Folder.exe  
C:\WINDOWS\system32\SSVICHOSST.exe ---> x:\SSVICHOSST.exe  
C:\WINDOWS\system32\autorun.ini ---> x:\autorun.inf  
行为描述: 设置特殊文件属性
详情信息: C:\WINDOWS\system32\SSVICHOSST.exe
行为描述: 查找文件
详情信息: FileName = C:\Documents and Settings  
FileName = C:\Documents and Settings\Administrator  
FileName = C:\Documents and Settings\Administrator\Local Settings  
FileName = C:\Documents and Settings\Administrator\Local Settings\Temp  
FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%  
FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%\1458474970.561921.exe  
FileName = C:\WINDOWS\system32\SSVICHOSST.exe  
FileName = SSVICHOSST.exe  
FileName = C:\WINDOWS\SSVICHOSST.exe  
FileName = C:\WINDOWS  
FileName = C:\WINDOWS\system32  
FileName = C:\WINDOWS\system32\cmd.exe  
FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%\AT.*  
FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%\AT  
FileName = C:\Python27\AT.*  
行为描述: 在根目录创建自运行文件
详情信息: C:\DiskX\autorun.inf
行为描述: 修改文件内容
详情信息: C:\WINDOWS\system32\SSVICHOSST.exe ---> Offset = 0  
C:\WINDOWS\system32\SSVICHOSST.exe ---> Offset = 65536  
C:\WINDOWS\system32\SSVICHOSST.exe ---> Offset = 131072  
C:\WINDOWS\system32\SSVICHOSST.exe ---> Offset = 196608  
C:\WINDOWS\system32\SSVICHOSST.exe ---> Offset = 262144  
C:\WINDOWS\SSVICHOSST.exe ---> Offset = 0  
C:\WINDOWS\SSVICHOSST.exe ---> Offset = 65536  
C:\WINDOWS\SSVICHOSST.exe ---> Offset = 131072  
C:\WINDOWS\SSVICHOSST.exe ---> Offset = 196608  
C:\WINDOWS\SSVICHOSST.exe ---> Offset = 262144  
C:\WINDOWS\system32\autorun.ini ---> Offset = 0  
C:\WINDOWS\system32\autorun.ini ---> Offset = 32  
C:\WINDOWS\system32\autorun.ini ---> Offset = 62  
C:\WINDOWS\system32\autorun.ini ---> Offset = 97  
C:\DiskX\New Folder.exe ---> Offset = 0  

注册表行为
行为描述: 修改注册表
详情信息: \REGISTRY\MACHINE\SYSTEM\ControlSet002\Services\Schedule\AtTaskMaxHours
\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Explorer\WorkgroupCrawler\Shares\shared
行为描述: 修改注册表_启动项
详情信息: \REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Run\Yahoo Messengger

其他行为
行为描述: 创建互斥体
详情信息: CTF.LBES.MutexDefaultS-*
CTF.Compart.MutexDefaultS-*
CTF.Asm.MutexDefaultS-*
CTF.Layouts.MutexDefaultS-*
CTF.TMD.MutexDefaultS-*
CTF.TimListCache.FMPDefaultS-*MUTEX.DefaultS-*
SHIMLIB_LOG_MUTEX
行为描述: 创建事件对象
详情信息: EventName = DINPUTWINMM  
EventName = Global\userenv: User Profile setup event  
行为描述: 获取系统权限
详情信息: SE_LOAD_DRIVER_PRIVILEGE
行为描述: 枚举窗口
详情信息: N/A
行为描述: 可执行文件签名信息
详情信息: C:\WINDOWS\system32\SSVICHOSST.exe(签名验证: 未通过)
C:\WINDOWS\SSVICHOSST.exe(签名验证: 未通过)
C:\DiskX\New Folder.exe(签名验证: 未通过)
C:\DiskX\SSVICHOSST.exe(签名验证: 未通过)
行为描述: 隐藏指定窗口
详情信息: [Window,Class] = [AutoIt v3,AutoIt v3]
行为描述: 可执行文件MD5
详情信息: C:\WINDOWS\system32\SSVICHOSST.exe ---> 61054f696e8e6335cc55ce82627b8d5f
C:\WINDOWS\SSVICHOSST.exe ---> 61054f696e8e6335cc55ce82627b8d5f
C:\DiskX\New Folder.exe ---> 61054f696e8e6335cc55ce82627b8d5f
C:\DiskX\SSVICHOSST.exe ---> 61054f696e8e6335cc55ce82627b8d5f
回复

使用道具 举报

26#
 楼主| 发表于 2016-12-26 20:38:33 | 只看该作者
25/39个杀出,但是都不是敏感杀灭,就是只逮活动的,不活动的都不管。
回复

使用道具 举报

27#
发表于 2016-12-27 21:41:27 | 只看该作者
本帖最后由 不知 于 2016-12-27 21:43 编辑

已经实现了固定大小的文件删除.
______________________________________________

@echo off
rem 设置文件的大小
set num=6
rem 设置文件后缀名
set suf=exe


set root="%cd%"
call :find %root%
pause & exit

:find
CD %1
for /F %%i in ('dir /A:-D /B *.%suf%') do if ERRORLEVEL 0 call :deal %%i
for /F %%i in ('dir /A:D /B') do call :find %%i
if "%cd%"==%root% pause & exit
CD ..
goto :EOF

:deal
echo 正在查找 %cd%
set file=%1
for /f %%I in ('dir /A /B %file%') do set numx=%%~zI
rem 对符合条件的文件进行处理
if %num%==%numx% del /s /q %file%
goto :EOF

:EOF
_______________________________________________________________
1.文件的大小可以直接用dir命令查看。
2.num变量保存的就是文件的大小,需更改使用。
3.不宜把批处理放在目录级数太多的地方(容易因为for命令的嵌套级数太多而停止运行)
4.会出现很多找不到文件,是因为当前目录没有符合后缀名的文件,忽略即可。
删除固定大小的文件.7z (460 Bytes, 下载次数: 11)


回复

使用道具 举报

28#
 楼主| 发表于 2016-12-28 01:04:34 来自手机 | 只看该作者
非常好用,谢谢
回复

使用道具 举报

29#
 楼主| 发表于 2016-12-28 08:52:43 来自手机 | 只看该作者
自己提前放个文件夹.exe,不知道会不会管用。

点评

拷贝1.txt到所有目录,然后将1.TXT重命名为上级目录.exe  详情 回复 发表于 2016-12-28 08:53
回复

使用道具 举报

30#
 楼主| 发表于 2016-12-28 08:53:55 来自手机 | 只看该作者
窄口牛 发表于 2016-12-28 08:52
自己提前放个文件夹.exe,不知道会不会管用。

拷贝1.txt到所有目录,然后将1.TXT重命名为上级目录.exe
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|捐助支持|无忧启动 ( 闽ICP备05002490号-1 )

闽公网安备 35020302032614号

GMT+8, 2024-11-30 09:21

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表