查杀4台机子autorun.inf病毒的小结

SailingStar

这2天，接连友情整了4台中了autorun.inf的机子（都是xp）。简单的写一哈。

这4台机中auto后出现的共同的情况是：
1、各逻辑盘根目录下都有 -r –s –h 属性的autorun.inf和一个由数字＋字母随机组合的exe文件（有一台是auto.exe文件）――这个地球人都知道。
2、注册表中有相应的启动项。
2、资源管理器的显示隐藏文件功能失效。
3、都可以进入安全模式。
4、可以运行冰刃和网上下的几个专杀工具。专杀工具未能杀除病毒，手工删除autorun.inf和 数字＋字母.exe文件后，随即产生。
5、进程列表中看不出有异常进程运行，冰刃也未有异常进程提示。

根据以上情况，主要处理过程如下：
1、开始－cmd，C:\dir /a，列出、查看C盘根目录下隐藏文件情况。C:\edit autorun.inf，查看、确认由autorun.inf关联运行的确切的exe文件。
2、重启，进入安全模式。
3、开始－regedit，在左边依次点开：HK_Loacal_Machine\software\Microsoft\windows\CurrentVersion\Run\，在右边仔细查看与异常exe文件相关链的异常启动项，删除。
4、删除％system％\windows\system32目录下异常dll文件：
      手工杀除autorun.inf病毒最主要的一步是要搞清专杀工具未能杀除病毒，以及手工删除autorun.inf和 数字＋字母.exe文件后随即产生的原因是什么？专杀工具虽然未能杀除病毒，但却有助于分析、查找这个原因。通过运行“落雪”(GamePass)木马专杀，查出在％system％\windows\system32目录下有一个也是由数字＋字母随机组合的异常dll文件。这个dll文件是由autorun.inf 关联的exe文件释放到system32目录下的，就是这个dll文件在随时检测各逻辑盘下autorun.inf和exe文件的状况，检测到没有，即回写。这4台机的这个dll文件名都不一样。在正常模式启动下，这个dll文件也删不掉。还好在安全模式下，这4台机的这个异常dll文件都可以用冰刃删除。知道了这个情况后，也可以通过％system％\windows\system32目录下文件按时间排序，找出这个异常dll文件。这个dll文件是当天最新时间的。
    通过时间排序，在system32目录下，还发现10几个也是当天时间的由数字＋字母随机组合的exe文件，一并删除。
5、删除各逻辑盘下的autorun.inf和关联的exe文件。

处理后，资源管理器的显示隐藏文件功能恢复，系统自身运行速度和上网速度都明显提高。

硬盘是我家

写得不错！很具体。学习很方便。

Mrsg

不错 上次我也遇到同样问题
我忘记是怎么搞定的了
那天又碰到同样问题 干脆恢复系统了

zy7057

有没有专杀这种病毒的软件啊

xnyzlyc

不错,学习了

午夜游荡

学习了,不错,

my1860

有专杀软件但是杀不干净与误杀。

fang5566

有个问题：
一般这个病毒都把注册表中关于安全模式的表项删除，导致进入安全模式时候蓝屏，所以你这招不行。
如果用软件如sreng来修复安全模式，sreng在病毒的禁止运行列表中，所以无效！


所以还是看这篇把
http://hi.baidu.com/newcenturysun/blog/item/e87aa7198456164443a9ada0.html

[ 本帖最后由 fang5566 于 2007-7-29 01:23 编辑 ]

谍杀

我是在安全模式下删除后直接GHOST。中好几回了。

X-File

用这个方法找应该也可以。文件里填“*.*“

高级选项里选搜索隐藏和系统文件。

hbqjljl

我用网上一个专杀工具杀地，效果还行，一次就搞定了，

hbqjljl

http://hi.baidu.com/newcenturysu ... 56164443a9ada0.html


这个上面说的真详细，

aikiu

QUOTE:

原帖由 fang5566 于 2007-7-29 01:21 发表
有个问题：
一般这个病毒都把注册表中关于安全模式的表项删除，导致进入安全模式时候蓝屏，所以你这招不行。
如果用软件如sreng来修复安全模式，sreng在病毒的禁止运行列表中，所以无效！


所以还是看这篇 ...

我中的就是你链接所说的病毒，搞了一个晚上，终于搞定。晕

manunitedz

我上2次也是中了这样的病毒，有autorun.ifi，还有1.exe到16.exe病毒，杀不掉，最后系统重装

rodney

我那次病毒把自己注入所有的exe文件，试了无数专杀都没法清除，只能删除各盘上的exe文件后重新安装系统。

海阔天空

我的电脑中了不知什么病毒木马，autorun也有，安全模式进不去，重装了系统又出来，最后只好全盘格了。。。。。

烟三

我一般安全模式下删除那些东西
然后用TXT造个假的
覆盖在原来的位置,并做只读
MS就没问题了

小松鼠

用usbclean帮人解决三台

doomdragon

嘿嘿，360安全卫士解决公司所有机器。。。。嘎嘎~~~~~~~~

skynicy

去年就中过，NOD32没有任何反映，换到MCAFEE，U盘一插上立马搞定

yophoenix

usbkiller和超级巡警也行

渐入佳境

我中招后任务管理器和注册表都打不开（打开后一闪就关闭了），怎么办？

SailingStar

试试冰刃能不能运行？可以的话，用冰刃打开注册表、查看（关闭）进程和当资源管理器使（可查看、删除隐藏文件）

这里有下载：
http://download.anqn.com:80/2007/%B1%F9%C8%D0iceswordV1.22Final%D6%D0%CE%C4%B0%E6-%B0%B2%C8%AB%D6%D0%B9%FAanqn.com.rar

SailingStar

QUOTE:

原帖由 fang5566 于 2007-7-29 01:21 发表
有个问题：
一般这个病毒都把注册表中关于安全模式的表项删除，导致进入安全模式时候蓝屏，所以你这招不行。
如果用软件如sreng来修复安全模式，sreng在病毒的禁止运行列表中，所以无效！


所以还是看这篇 ...

我对这4台机子的处理也只是即时应景，当时就想应该还有没发现的异常文件，偷懒了。

fang5566 TX 说的这篇文章很老道，仔细学习中......。以备后用。

feel100100

使用360安全卫士，感觉还可以。

花花公子飞

卡吧斯基最新病毒库可以杀。。。。

渐入佳境

QUOTE:

原帖由 feel100100 于 2007-8-9 15:38 发表
使用360安全卫士，感觉还可以。

我中招后360直接被关闭了，一点用都没有。

tzk

QUOTE:

原帖由 SailingStar 于 2007-7-28 16:56 发表
这2天，接连友情整了4台中了autorun.inf的机子（都是xp）。简单的写一哈。

这4台机中auto后出现的共同的情况是：
1、各逻辑盘根目录下都有 -r –s –h 属性的autorun.inf和一个由数字＋字母随机组合的exe文 ...

参考SailingStar 的方法，成功删除了auto病毒，系统成功恢复。感谢SailingStar ！！！
我的情况还要复杂一些，有若干个病毒 .exe及.dll 文件，胆子一大，把可疑的文件全部删除，就是删除时费劲，.dll病毒程序有保护功能。主要的方法请参考SailingStar 的帖子，我的过程加入了
1  完成以上操作后，重启，用瑞星杀毒，把衍生残余的病毒再一次查杀（又找出很多呀！）
2  完成后进入windows\system32\手工删除可疑.dll文件。

ddpcb

前天在朋友那里中了類似的木馬，叫tel.xls.exe的，專門盜QQ密碼的，跟這個autorun.inf的類似，也是用專殺才搞定，原因在我，把mcafee保護system32的給關閉了，不然，這個病毒應該是感染不了的。

      把windows及system32目錄保護：不可寫入、不可修改、不可創建新文件；一般來說，大多數的病毒都不會感染了！

cocooler

前天中了这个病毒，好不容易才搞定