查杀4台机子autorun.inf病毒的小结
这2天,接连友情整了4台中了autorun.inf的机子(都是xp)。简单的写一哈。这4台机中auto后出现的共同的情况是:
1、各逻辑盘根目录下都有 -r –s –h 属性的autorun.inf和一个由数字+字母随机组合的exe文件(有一台是auto.exe文件)――这个地球人都知道。
2、注册表中有相应的启动项。
2、资源管理器的显示隐藏文件功能失效。
3、都可以进入安全模式。
4、可以运行冰刃和网上下的几个专杀工具。专杀工具未能杀除病毒,手工删除autorun.inf和 数字+字母.exe文件后,随即产生。
5、进程列表中看不出有异常进程运行,冰刃也未有异常进程提示。
根据以上情况,主要处理过程如下:
1、开始-cmd,C:\dir /a,列出、查看C盘根目录下隐藏文件情况。C:\edit autorun.inf,查看、确认由autorun.inf关联运行的确切的exe文件。
2、重启,进入安全模式。
3、开始-regedit,在左边依次点开:HK_Loacal_Machine\software\Microsoft\windows\CurrentVersion\Run\,在右边仔细查看与异常exe文件相关链的异常启动项,删除。
4、删除%system%\windows\system32目录下异常dll文件:
手工杀除autorun.inf病毒最主要的一步是要搞清专杀工具未能杀除病毒,以及手工删除autorun.inf和 数字+字母.exe文件后随即产生的原因是什么?专杀工具虽然未能杀除病毒,但却有助于分析、查找这个原因。通过运行“落雪”(GamePass)木马专杀,查出在%system%\windows\system32目录下有一个也是由数字+字母随机组合的异常dll文件。这个dll文件是由autorun.inf 关联的exe文件释放到system32目录下的,就是这个dll文件在随时检测各逻辑盘下autorun.inf和exe文件的状况,检测到没有,即回写。这4台机的这个dll文件名都不一样。在正常模式启动下,这个dll文件也删不掉。还好在安全模式下,这4台机的这个异常dll文件都可以用冰刃删除。知道了这个情况后,也可以通过%system%\windows\system32目录下文件按时间排序,找出这个异常dll文件。这个dll文件是当天最新时间的。
通过时间排序,在system32目录下,还发现10几个也是当天时间的由数字+字母随机组合的exe文件,一并删除。
5、删除各逻辑盘下的autorun.inf和关联的exe文件。
处理后,资源管理器的显示隐藏文件功能恢复,系统自身运行速度和上网速度都明显提高。 写得不错!很具体。学习很方便。 不错 上次我也遇到同样问题
我忘记是怎么搞定的了
那天又碰到同样问题 干脆恢复系统了 有没有专杀这种病毒的软件啊 不错,学习了 学习了,不错, 有专杀软件但是杀不干净与误杀。 有个问题:
一般这个病毒都把注册表中关于安全模式的表项删除,导致进入安全模式时候蓝屏,所以你这招不行。
如果用软件如sreng来修复安全模式,sreng在病毒的禁止运行列表中,所以无效!
所以还是看这篇把
http://hi.baidu.com/newcenturysun/blog/item/e87aa7198456164443a9ada0.html
[ 本帖最后由 fang5566 于 2007-7-29 01:23 编辑 ] 我是在安全模式下删除后直接GHOST。中好几回了。 用这个方法找应该也可以。文件里填“*.*“
高级选项里选搜索隐藏和系统文件。 我用网上一个专杀工具杀地,效果还行,一次就搞定了, http://hi.baidu.com/newcenturysun/blog/item/e87aa7198456164443a9ada0.html
这个上面说的真详细, 原帖由 fang5566 于 2007-7-29 01:21 发表 http://www.ibmnb.com/images/common/back.gif
有个问题:
一般这个病毒都把注册表中关于安全模式的表项删除,导致进入安全模式时候蓝屏,所以你这招不行。
如果用软件如sreng来修复安全模式,sreng在病毒的禁止运行列表中,所以无效!
所以还是看这篇 ...
我中的就是你链接所说的病毒,搞了一个晚上,终于搞定。晕 我上2次也是中了这样的病毒,有autorun.ifi,还有1.exe到16.exe病毒,杀不掉,最后系统重装 我那次病毒把自己注入所有的exe文件,试了无数专杀都没法清除,只能删除各盘上的exe文件后重新安装系统。 我的电脑中了不知什么病毒木马,autorun也有,安全模式进不去,重装了系统又出来,最后只好全盘格了。。。。。 我一般安全模式下删除那些东西
然后用TXT造个假的
覆盖在原来的位置,并做只读
MS就没问题了 用usbclean帮人解决三台 嘿嘿,360安全卫士解决公司所有机器。。。。嘎嘎~~~~~~~~^u^ 去年就中过,NOD32没有任何反映,换到MCAFEE,U盘一插上立马搞定 usbkiller和超级巡警也行 我中招后任务管理器和注册表都打不开(打开后一闪就关闭了),怎么办? 试试冰刃能不能运行?可以的话,用冰刃打开注册表、查看(关闭)进程和当资源管理器使(可查看、删除隐藏文件)
这里有下载:
http://download.anqn.com:80/2007/%B1%F9%C8%D0iceswordV1.22Final%D6%D0%CE%C4%B0%E6-%B0%B2%C8%AB%D6%D0%B9%FAanqn.com.rar 原帖由 fang5566 于 2007-7-29 01:21 发表
有个问题:
一般这个病毒都把注册表中关于安全模式的表项删除,导致进入安全模式时候蓝屏,所以你这招不行。
如果用软件如sreng来修复安全模式,sreng在病毒的禁止运行列表中,所以无效!
所以还是看这篇 ...
我对这4台机子的处理也只是即时应景,当时就想应该还有没发现的异常文件,偷懒了。
fang5566 TX 说的这篇文章很老道,仔细学习中......。以备后用。 使用360安全卫士,感觉还可以。 卡吧斯基最新病毒库可以杀。。。。 原帖由 feel100100 于 2007-8-9 15:38 发表 http://www.ibmnb.com/images/common/back.gif
使用360安全卫士,感觉还可以。
我中招后360直接被关闭了,一点用都没有。 原帖由 SailingStar 于 2007-7-28 16:56 发表 http://www.thinkpad.cn/forum/images/common/back.gif
这2天,接连友情整了4台中了autorun.inf的机子(都是xp)。简单的写一哈。
这4台机中auto后出现的共同的情况是:
1、各逻辑盘根目录下都有 -r –s –h 属性的autorun.inf和一个由数字+字母随机组合的exe文 ...
参考SailingStar 的方法,成功删除了auto病毒,系统成功恢复。感谢SailingStar !!!
我的情况还要复杂一些,有若干个病毒 .exe及.dll 文件,胆子一大,把可疑的文件全部删除,就是删除时费劲,.dll病毒程序有保护功能。主要的方法请参考SailingStar 的帖子,我的过程加入了
1完成以上操作后,重启,用瑞星杀毒,把衍生残余的病毒再一次查杀(又找出很多呀!)
2完成后进入windows\system32\手工删除可疑.dll文件。 前天在朋友那里中了類似的木馬,叫tel.xls.exe的,專門盜QQ密碼的,跟這個autorun.inf的類似,也是用專殺才搞定,原因在我,把mcafee保護system32的給關閉了,不然,這個病毒應該是感染不了的。
把windows及system32目錄保護:不可寫入、不可修改、不可創建新文件;一般來說,大多數的病毒都不會感染了! 前天中了这个病毒,好不容易才搞定
页:
[1]
2