runauto.. 病毒斗争记
杀了四个小时,当我手动杀的差不多时才发现...
555555~~~~
以下是最后找到的成果,文字部分为转贴
真实有效
1、运行regedit打开注册表。
2、在服务中找到Kerberos Key Distribution Centers 服务并停止它。查看进程确保进程列表中只有一个lsass.exe路径为c:/windows/system32。
3、在注册表中清除如下健值:[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/]中的cmd.exe、msconfig.exe、regedit.exe、regedt32.exe项。
[HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/]中的kkdc项
[HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001
/Services/SharedAccess/Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications /List]中的"C://WINDOWS//lsass.exe"="C://WINDOWS//lsass.exe:*:Enabled: lsass.exe"
查看[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/]中是否存在kkdc项,如存在删除kkdc项。
查看[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/SharedAccess/ Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications/List]中是 否有
"C://WINDOWS//lsass.exe"="C://WINDOWS//lsass.exe:*:Enabled:lsass.exe", 如有则删除"C://WINDOWS//lsass.exe"="C://WINDOWS//lsass.exe:*:Enabled: lsass.exe"。
4、我的电脑-工具-文件夹选项-查看 中“隐藏受保护的操作系统文件”前面的对勾去掉,并选中“显示所有文件和文件夹”确定。
5、在C:/windows目录中找到lsass.exe、regedit.exe.exe、cmd.exe.exe、setuprs1.pif以及有病 毒生成的文件这些文件有个特征是“没有图标”的后缀名为.exe的文件。(这些文件是由于在中毒后运行cmd.exe、regedit.exe、 regedit32.exe、maconfig.exe时生成的文件,文件名一般为r.exe、r0.exe等。)
6、开始-运行 输入cmd 进入命令提示符。(如果C盘根目录下有runauto..隐藏文件夹和autorun.inf两个存在)在C盘根目录下输入如下命令:
rmdir RUNAUT~1 /s /p
或者
rd /s/q runauto.../
del autorun.inf
如果别的磁盘也有runauto..隐藏文件夹和autorun.inf两个存在则在cmd 下进入相应盘符执行同样操作即可。
注:autorun.inf文件一般只存在于C盘和移动磁盘里,而runauto..隐藏文件夹则是每个磁盘下都会有。
7、确定删除完毕后重新启动机器即可。
在csdn混了一段时间了:发现自己的这篇转贴居然这么多人看。
算了,写个脚本回报社会吧。(代码写的简陋,仅适用于已经中了该病毒,并且是Xp系统,系统安装到C盘)
以下内容存为kill.bat运行之,就能搞定了。 (前两天写的那个有一点儿小问题,现在已经修正了)Enjoy~
@echo off
echo -----------------------------------------------------------------------------------
echo ---- RECYCLER and runauto..专杀脚本 ----
echo ---- ----
echo ---- 作者: olojiang 2007.04.28 ----
echo -----------------------------------------------------------------------------------
echo 重剑无锋,大巧不工
net stop "kkdc"
echo 尝试关闭服务 kkdc
if exist kill.reg del kill.reg
echo Windows Registry Editor Version 5.00 >> kill.reg
echo [-HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/cmd.exe] >> kill.reg
echo [-HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/msconfig.exe] >> kill.reg
echo [-HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/regedit.exe] >> kill.reg
echo [-HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/regedt32.exe] >> kill.reg
echo [-HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/kkdc] >> kill.reg
echo [-HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/kkdc] >> kill.reg
echo [-HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/Services/kkdc] >> kill.reg
echo [-HKEY_LOCAL_MACHINE/SYSTEM/ControlSet003/Services/kkdc] >> kill.reg
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/SharedAccess/Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications /List] >> kill.reg
echo "C://WINDOWS//lsass.exe"=->> kill.reg
echo [HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/SharedAccess/Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications /List] >> kill.reg
echo "C://WINDOWS//lsass.exe"=->> kill.reg
echo [HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/Services/SharedAccess/Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications /List] >> kill.reg
echo "C://WINDOWS//lsass.exe"=->> kill.reg
echo [HKEY_LOCAL_MACHINE/SYSTEM/ControlSet003/Services/SharedAccess/Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications /List] >> kill.reg
echo "C://WINDOWS//lsass.exe"=->> kill.reg
copy c:/windows/regedit.exe c:/windows/regeditX.exe
c:/windows/regeditX.exe /s kill.reg
del kill.reg
del c:/windows/regeditX.exe
echo runauto.. 病毒的注册表清理完成
for %%i in (c d e f g h i j k l m n o p q r s t u v w x y z) do rd /s/q %%i%:/runauto.../
echo runauto.. 文件删除完成
for %%i in (c d e f g h i j k l m n o p q r s t u v w x y z) do @if exist %%i%:/RECYCLER/ echo %%i%:/RECYCLER/ is being deleted & @if exist %%i%:/RECYCLER/ rd /s/q %%i%:/RECYCLER/
echo RECYCLER 文件夹删除完成
pause
runauto.. 病毒斗争记相关推荐
- runauto 病毒
周海汉 /文 我的系统一直保持版本最新的,反病毒软件norton security 2005也及时更新,但还是染上了runauto病毒.该病毒很难对付,据说通过U盘的自动执行感染.该病毒症状如下: 双 ...
- IE病毒必杀记-IE病毒常用查杀方法简介(转)
现今的杀毒工具虽然有的门类众多,但是还是很多都不能完全解决各种顽固病毒.尤其是各种IE病毒,恶意代码,更是让许多网民防不胜防.最常见的现象就是,打开IE时冷不防的蹦出个广告网站窗口,IE被篡改,系统资 ...
- WORM_DOWNAD.AD病毒清除记
最近一些朋友打电话过来问询公司有没有感染WORM_DOWNAD.AD病毒?如何处理的?解答过几次之后,想还是写出来,说不定其它朋友也许有需要呢? 感染病毒症状: 一,主要是针对AD服务器的攻击,利用猜 ...
- linux中sfewfesfs病毒删除记
现象: 中招的2个机子系统是scientific linux 6.5 64bit.几乎将系统整个上传带宽都用尽了,一直向外部发送数据,造成网络堵塞.找到病毒文件无法正常删除,需要变更文件属性.删除后自 ...
- pnscan 挖矿蠕虫病毒处理记(二)
在一的文章中,扫描的程序讲解了,但是真正的Boss(pnscan 挖矿)还没有解决,接下来继续: 机器安装了阿里云的动态感知,扫描到挖矿程序. 查看文件,发现这是一个脚本,先不要急于清理,先研究它的运 ...
- 对Autorun.inf类U盘病毒的攻防经验总结
"RavMonE.exe"."rose.exe"."sxs.exe"."copy.exe"."setup.ex ...
- 对Autorun.inf类U盘病毒的攻防
"RavMonE.exe"."rose.exe"."sxs.exe"."copy.exe"."setup.ex ...
- 2006年重大病毒***大阅兵
在2006年的岁月尾声,有多少网民切身体会到了病毒带来的伤痛,而病毒又给多少创业造成了无可厚菲的损失,这一切的一切在杀毒软件厂商与广大网管员的辛勤努力下,恶意程序.病毒变的烟灰云散,计算机网络又呈现一 ...
- 如何与病毒搏斗?这部BBC“史诗级大片”告诉你答案
来源:惠在湖北 我们知道,在目前没有特效药和疫苗的情况下,被治愈的新型冠状病毒肺炎患者,离不开医学的帮助,而治愈的关键,依靠的是人体自身的免疫力. 病毒是如何入侵的?免疫力从何而来?我们身体的免疫系 ...
最新文章
- Caffe框架GPU与MLU计算结果不一致请问如何调试?
- DS博客作业05--树
- 曲线学习PyQt5方案一
- awk 分隔符 多个空格_如何在awk中指定多个分隔符
- JAVA总结之数组篇
- 【小白学PyTorch】5.torchvision预训练模型与数据集全览
- Java EE WEB工程师培训-JDBC+Servlet+JSP整合开发之14.Servlet请求头信息
- SimpleDateFormat使用方法详解
- Log4j的FileAppender配置
- 解决Lync2010错误:无法同步通讯簿信息
- 【C语言简单说】十一:switch 补
- Iterator_迭代器模式_PHP语言描述
- Java 11 究竟比 8 快了多少?
- UE4如何使用下载的资源
- 全新多商户版PHP自助发卡平台源码 多模板 自适应手机端
- 90后程序英雄季逸超
- uiautomatorviewer 简单使用
- 手把手教你做个AR涂涂乐
- div元素(css)定位
- DOS批处理简明高级教程