runauto 病毒
周海汉 /文
我的系统一直保持版本最新的,反病毒软件norton security 2005也及时更新,但还是染上了runauto病毒。该病毒很难对付,据说通过U盘的自动执行感染。该病毒症状如下:
双击打开系统盘报错,说找不到打开方式。
用WIN+E打开,点左边的树形目录,将所有隐藏文件打开,会看到有隐藏的目录 runauto...,autorun.inf,autorun.inf.tmp等文件。runauto...目录不能删除。
norton报发现lsass.exe病毒和setuprs.pif 病毒,但清除失败。norton的名字是killAV。
打开“运行”,敲入cmd,regedit,regedit32,msconfig都说找不到该程序。“windows 找不到文件‘msconfig’,请确定文件名是否正确后再试一次。”
直接进入system32,发现cmd.exe,regedit.exe,regedit32.exe都在,但执行时报找不到该程序错误。
任务管理器的进程列表里有两个lsass.exe,且都不能结束。
windows目录下有lsass.exe和setuprs.pif,且都不能删除。
右键点击“我的电脑”,点“管理”,窗口马上被自动关闭。
我的解决办法:
首先,进入“管理”,快速点“服务”,按快捷键K,找到服务kkdc:
Kerberos Key Distribution Centers
迅速双击,停止服务,再将其禁止。
进入windows/system32目录,将cmd改名,双击执行。
rmdir d:/runauto.../ /q /s ,将该目录删除。
del /f /q /a %systemroot%/setuprs.pif
del /f /q /a %systemroot%/lsass.exe
将system32的regedit 改名,执行,将
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/ Image File Execution Options]
下面的cmd.exe,regedit.exe,regedit32.exe和msconfig.exe项直接删除。(里面都有debug=setuprs1.pif键值)。
再去网上下一个auto查杀工具,基本就可以杀干净了。
下面是网上找的比较系统的查杀办法:
病毒添加服务:
kkdc=C:/WINDOWS/lsass.exe
system用户进程:
lsass.exe(和系统的一样哦,WINDOWS/lsass.exe ,占用7m内存,系统的才1m多,手动
停止
服务后即可,不用结束进程)
可能有的进程:
cmd.exe.exe
释放到%windir%即%SystemRoot%目录的病毒:
WINDOWS/cmd.exe.exe (验证md5后,和系统的一致,病毒只是改名改路径,不过还是
建议删除,因为有C:/WINDOWS/cmd.exe.exe或者病毒修改注册
表禁止软件所以不能在开始菜单里运行cmd以及批处理等。)
WINDOWS/lsass.exe
WINDOWS/regedit.exe.exe (验证md5后,和系统的一致,病毒只是改名,建议删除)
WINDOWS/setuprs1.PIF
分区根目录及文件:
目录runauto.../ (最后的“./”当然不会显示了,写这个符号表示这个目录进不了)
文件runauto../autorun.pif (其实就是lsass.exe,大小一样,名字不同而已。)
文件autorun.inf.tmp (下面附它里面的内容)
[AutoRun]
open=RUNAUT~1/autorun.pif
shell/1=打开(&O)
shell/1/Command=RUNAUT~1/autorun.pif
shell/2/=浏览(&B)
shell/2/Command=RUNAUT~1/autorun.pif
shellexecute=RUNAUT~1/autorun.pif
=================手动解决方法:======================
推荐用“开始-运行-command”操作。
先显示所有隐藏文件、系统文件。(不会?控制面板-文件夹选项-查看-自己慢慢看)
先删除C:/WINDOWS/cmd.exe.exe (如果没有就跳过这步)
右健点击install.inf选择安装修复文件关联。
(install.inf下载http://lsxk.org/bbscon.php?bid=67&id=66423&ap=595
特别注意!install.inf只用于XP系统,而且系统不安装在C盘的不要用!)
从C:/WINDOWS/system32/dllcache/regedit.exe复制到C:/WINDOWS/regedit.exe
从C:/WINDOWS/system32/dllcache/cmd.exe复制到C:/WINDOWS/system32/cmd.exe
改名cmd为随机数字的文件名并运行(或者试试开始-运行-command)
输入下面3条命令:
net stop kkdc
sc stop kkdc (这条只是监测是否已经删除服务)
sc delete kkdc
剩下就删除文件即可:
DEL /F /Q /A %SystemRoot%/cmd.exe.exe
DEL /F /Q /A %SystemRoot%/lsass.exe
DEL /F /Q /A %SystemRoot%/regedit.exe.exe
DEL /F /Q /A %SystemRoot%/setuprs1.PIF
“runauto..”这个文件夹不能直接删除,要用下面命令(X代表盘符,比如C、D啊)
rd /s /q X:/runauto.../
或者
rd /s /q runaut~1
清理注册表:
开始-运行-regedit等程序或者即使你直接双击打开regedit程序,也会出现提示对话框
:
Windows找不到文件'regedit'。请确定文件名是否正确后,再试一次。要搜索文件,
请单击[开始]按钮,然后单击"搜索"。
如果你把文件名改名字后就可以打开了。杀毒之后,把regedit.exe改名字,然后打开,
打开下面的项:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/
Image File Execution Options]
如存在如下项删除:
cmd.exe
cmd.com
msconfig.exe
msconfig.com
360safe.exe
avp.com
avp.exe
adam.exe
EGHOST.exe
IceSword.exe
iparmo.exe
kabaload.exe
KRegEx.exe
KvDetect.exe
KVMonXP.kxp
KvXP.kxp
MagicSet.exe
mmsk.exe
NOD32.exe
PFW.exe
PFWLiveUpdate.exe
QQDoctor.exe
Ras.exe
Rav.exe
RavMon.exe
regedit.exe
regedit.com
regedt32.exe
runiep.exe
SREng.EXE
TrojDie.kxp
WoptiClean.exe
顺便说另一个限制软件运行的地方(XP系统):
开始-运行-输入“gpedit.msc”打开组策略-本地计算机策略-计算机配置-
Windows设置-安全设置-软件限制策略-其它规则,看到有限制的删除即可。
重启后再检查清理一次,然后就可以上网了。
建议步骤:
从C:/WINDOWS/system32/dllcache/msconfig.exe复制到
C:/WINDOWS/pchealth/helpctr/binaries/msconfig.exe覆盖原有文件。
其他说明:
删除NTFS分区的Autorun.inf免疫目录方法:
echo Y|cacls X:/Autorun.inf /T /C /P everyone:F & RD /S /Q X:/Autorun.inf
清理注册表也可以用下面的命令:
REG DELETE "HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Exe
cuti
on Options/msconfig.exe" /f
REG DELETE "HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Exe
cuti
on Options/regedit.exe" /f
REG DELETE "HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Exe
cuti
on Options/regedt32.exe" /f
runauto 病毒相关推荐
- runauto.. 病毒斗争记
杀了四个小时,当我手动杀的差不多时才发现... 555555~~~~ 以下是最后找到的成果,文字部分为转贴 真实有效 1.运行regedit打开注册表. 2.在服务中找到Kerberos Key Di ...
- java.net.SocketException:No buffer space avaliable(maximum connection reached?):JVM_Bind 解决办法...
No buffer space available 2009-06-15 14:03 java.net.SocketException: No buffer space available (maxi ...
- 0037-java.net.SocketException: No buffer space available (maximum connections reached?): JVM_Bind
一个朋友让我帮忙解决他服务器上一个JAVA应用出现的问题,我利用业务时间赶赴现场两次,终于解决了这个疑难杂症,赶紧记录下来,不求能解救曾经和我一样困惑的劳苦大众,但愿自己别忘了. 一.问题的表现 首先 ...
- dllhost.exe病毒清除办法
现象描述:各个硬盘分区有一个文件夹runauto.. ,%windows%目录下有特征的病毒文件dllhost.exe 清除步骤:(以下所有操作在 IceSword 中进行)Iceword v1.20 ...
- 遇到个有点水平的autorun病毒
今天被人叫去整电脑,说是D盘双击打不开.第一反应autorun.进了D盘,地址栏里输入"autorun.inf",踫出了记事本...真的有个autorun.inf在.显示所有文件( ...
- linux病毒木马分析,Linux平台“盖茨木马”分析
最近对Linux.BackDoor.Gates.6的一个病毒样本进行了分析,通过调查发现Linux盖茨木马是一类有着丰富历史,隐藏手法巧妙,网络攻击行为显著的DDoS木马.这篇文章主要介绍了Linux ...
- python病毒扫描器_基于Python的病毒扫描机制
构建集中式病毒扫描机制(ClamAV) Clam AntiVirus(ClamAV)是一款免费而且开源的防毒软件,软件与病毒库的更新皆有社区免费发布,官网地址:http://www.clamav.ne ...
- 病毒的灵魂拷问(绝对原创)
哈哈哈,我敢说,这篇博客绝不会有重复的,因为它是我上课的走神之作,哈哈哈! 不废话,上代码: import java.util.Scanner; import java.util.*; public ...
- 一次被僵尸网络病毒攻击的过程
事件背景 回想起来应该算是去年的事情了, 时值 2019 年 1 月 24 日早上, 当时我正忙碌于开发手头的一个珠宝分销系统项目, 由于已经进行了多日封闭式开发, 项目初见效果, 准备放到内网服务器 ...
最新文章
- UA MATH575B 数值分析下I 梯度下降
- 微软2019暑期实习笔试题
- jmeter导入DB数据再再优化
- 查看idea的安装位置_idea怎么重置默认配置-idea重置默认配置的方法步骤
- ubuntu 12.04 mysql_Ubuntu 12.04 mysql 源码安装--mysql.5.5.x
- mysql开启日志记录
- 年轻人求知欲让我想办CPU设计免费培训
- 安卓自定义控件,自行绘制文字
- Johnson 算法
- linux网卡配置trunk模式,centos配置单网卡为Trunk模式
- 为什么说视频号是下一个短视频风口?
- c语言编程高斯白噪声信号,关于产生高斯白噪声
- ue4 启用ui_如何实现语音的AI启用ui设计原则
- 电脑为何连不上手机开的热点
- 初中升高中计算机考试题,初中信息技术中学考试excel操作题.doc
- 解决Vue运行报js内存溢出问题
- 【综述】3D智能数字化与3D打印:中国制造向中国智造转变的机遇
- ifconfig命令
- [容斥 状压DP] HDU4997. Biconnected
- 2023全国特种作业操作证高压电工模拟试卷一[安考星]