先来了解一下为什么本地连接不可禁用,原因是病毒破坏掉了系统目录下的一个文件,而这个文件的目录就是
里面的catdb 文件被破坏,那我们如何修复呢?
通常我们想到的最快捷的方法就是直接覆盖一个好的文件就可以,我那我先来试验一下
首先,我们先删除它
好的,我的目录下已经是空白了,说明我已经直接删除了,那我们看看结果怎么,如何检验呢?? 直接禁用本地连接就好,我们试一下
这时候我们就会很奇怪的发现,本地连接依旧可以禁用,而本来已经清空的文件夹中又再次出现了被我们所删除的东西,这是为什么呢?
其实,这时微软的系统保护 为cryptsvc(认证服务),因为它的保护,所以我们无法彻底更换这个文件,那我们应该如何更换呢? 结束这个服务就好
首先,我们用到第一个命令
Tasklist
我们根据它的命令来了解它的的应用...它用来显示我们机器上运行的各种任务,而我们涉及到系统服务,仔细查找
如图,我们找到了它的子命令,然后输入,回车
我们找到了,它的服务,下一步,我们要结束它 涉及到下一个命令 taskkill
我们可以使用taskkill/?来查看它的的用法
下面 是我写的批处理:
@echo off
@pause
for /f "tokens=2 delims=," %%a in ('tasklist /fi "services eq CryptSvc" /nh /fo csv') do (taskkill /f /fi "pid eq %%~a")
@systeminfo>%tmp%\sys.info
@rem #more %tmp%\sys.info
@more %tmp%\sys.info|findstr "Service Pack 3" && goto 3 || more %tmp%\sys.info|findstr "Service Pack 2" && goto 2||more %tmp%\sys.info|findstr "Service Pack 1" && goto 1
:3
@echo copy file repir System
@copy /v .\sp3\catdb.* %windir%\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\
@goto end
:2
@echo copy file repir System
@copy /v .\sp2\catdb.* %windir%\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\
@goto end
:1
@echo copy file repir System
@copy /v .\sp1\catdb.* %windir%\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\
@goto end
:end
@pause
@shutdown -f
如上命令
因为系统服务的PID 可能会有不同,我们则需要命令自动的判别所执行的任务的PID,然后自动的去结束这个程序,然后自动的去判别系统版本,来从桌面复制东西到指定文件夹,来修补系统,而上面的这个命令可以完全做到
我来讲解一下比较复杂的东西,首先
为什么使用pause 命令,因为输入之后会产生
这样使批处理更具有结构化,更加美观,而不是一窝蜂的直接解决,又便于判断故障
然后,怎么样结束已经发现的 cryptscv 服务,根据上文
我们可以看出,pid为 1040 的进程有很多服务,而且
而这些系统服务有无法直接终止,只能强制终止
所以我们只能使用带 /F选项的直接禁止
taskkill /f /fi "services eq CryptSvc"
如上命令,就可以禁止了,
成功终止后就可以直接覆盖了
注:讲解一下“”的重要性,如果不加“”,cmd只会识别第一个单词,就无法终止了,如图:所以一定要注意细节,可能你辛辛苦苦写的东西,仅仅少一个符号,就挂了
@systeminfo>%tmp%\sys.info 指在系统目录下加入一个缓存,结束之后手动删除即可
再次,介绍一下
%windir%,这个命令输入路径后
可直接找到系统的WINDOWS目录下,因为某些人喜欢更改系统目录来提高安全性,所以它的出现是必要的,有感兴趣的 可以去查一下相对路径。
覆盖之后 直接 shutdown -f 直接重启解决,是不是很简单和实用?
注:“:”对上面提到的代号描述,如 goto 1,下一行可直接这样 :1 shudown -f
这样执行完后直接就关机了
批命令的熟悉主要靠无数的尝试和对DOS的命令的熟悉以及产于利用和构造,简单却能起到方便,快捷的作用。
附文件下载:点我下载
-----Edit by Andy
转载于:https://www.cnblogs.com/tstcxxzx/archive/2013/05/05/3061515.html