一陣嘻，噓!

Win32:Sality是很嚴重的病毒，有時候發現時硬碟根目錄已經是好幾千甚至好幾萬個病毒產生的pif、exe、cmd檔案了。
這個批次檔就是為了刪除這些檔案所寫的。

僅刪除隱藏的pif、exe、cmd檔案，刪除完成後則在該資料夾下建立一個list.txt檔案，列出所有隱藏檔案。

批次檔

@echo off
title 刪除特定隱藏檔批次檔
echo 即將開始刪除各硬碟根目錄下所有副檔名為pif、exe、cmd之隱藏檔
PAUSE

:DELCMD
set /p driver=輸入要清除的槽，例如C: →

del /F /AH %driver%:\*.pif
del /F /AH %driver%:\*.exe
del /F /AH %driver%:\*.cmd
del /F /A %driver%:\autorun.inf
mkdir %driver%:\autorun.inf
dir %driver%: /AH > %driver%:\list.txt

echo 　
echo /*---------------------------------*/
echo 批次檔處理完成，按Ctrl+C中止批次檔
goto :DELCMD


@echo on

使用方式

將上列批次檔的文字複製到記事本以後存為del.bat即可。

執行後輸入硬碟的槽，例如c、d等，而網路硬碟則從後面排回來，也就是z、y、x等，即可開始刪除。

Win32:Sality目前沒有專殺，且惡劣的會將所有exe檔案感染，若中毒後建議備份好檔案以後直接重灌。連非系統的硬碟建議也格式化。
中毒後會在任何有權限寫入的網路硬碟、本機硬碟產生一堆pif、exe、cmd檔案，這些檔案若執行也會中毒。
且會掃描所有有權限寫入的網路硬碟將exe檔案進行感染，所以務必小心這類病毒。

處理方式

當發現也就是毒發時候，使用此批次檔將網路硬碟的所有殘毒清除乾淨，且將網路硬碟有exe執行檔的檔案刪除。
接著電腦備份好資料以後就重灌吧，若非系統硬碟不確定有多少exe檔則建議也重灌。
若有網路硬碟發現此毒時，務必要檢查哪一台是毒源。只要能夠直接刪除網路硬碟內病毒產生的檔案即為病原體電腦。
否則當病毒檔案蔓延時，可能整個區域網路的電腦都需要重灌。

win32:sality專殺下載，儘管有人寫出來了，但此毒有不少變種，就試試吧。

以上

※此篇為工作單位碰到的問題，發文紀錄。