轉(zhuǎn)載聲明:版權(quán)規(guī)文章原創(chuàng)作者所有
轉(zhuǎn)載時(shí)間:2007年07月16日
轉(zhuǎn)載作者:pablo3518
runauto 病毒刪除方法
前兩天電腦中毒了,系統(tǒng)中多了一個(gè)lsass.exe進(jìn)程,且無(wú)法結(jié)束該進(jìn)程,系統(tǒng)中的cmd regedit msconfig 等工具都不能正常打開(kāi),很是郁悶,最后自己費(fèi)了好大的工夫才清除了這東西.我從網(wǎng)上找到了一篇解決該病毒的文章,希望對(duì)大家有用.
*****************************************************
]
我的系統(tǒng)一直保持版本最新的,反病毒軟件norton security 2005也及時(shí)更新���,但還是染上了runauto病毒��。該病毒很難對(duì)付����,據(jù)說(shuō)通過(guò)U盤的自動(dòng)執(zhí)行感染�����。該病毒癥狀如下:
雙擊打開(kāi)系統(tǒng)盤報(bào)錯(cuò),說(shuō)找不到打開(kāi)方式����。
用WIN+E打開(kāi),點(diǎn)左邊的樹(shù)形目錄�����,將所有隱藏文件打開(kāi)���,會(huì)看到有隱藏的目錄 runauto...,autorun.inf,autorun.inf.tmp等文件����。runauto...目錄不能刪除���。
norton報(bào)發(fā)現(xiàn)lsass.exe病毒和setuprs.pif 病毒�����,但清除失敗��。norton的名字是killAV�����。
打開(kāi)“運(yùn)行”�,敲入cmd,regedit,regedit32,msconfig都說(shuō)找不到該程序�。“windows 找不到文件‘msconfig’,請(qǐng)確定文件名是否正確后再試一次��。”
直接進(jìn)入system32,發(fā)現(xiàn)cmd.exe,regedit.exe,regedit32.exe都在�����,但執(zhí)行時(shí)報(bào)找不到該程序錯(cuò)誤��。
任務(wù)管理器的進(jìn)程列表里有兩個(gè)lsass.exe���,且都不能結(jié)束。
windows目錄下有l(wèi)sass.exe和setuprs.pif,且都不能刪除���。
右鍵點(diǎn)擊“我的電腦”�����,點(diǎn)“管理”����,窗口馬上被自動(dòng)關(guān)閉。
我的解決辦法:
首先���,進(jìn)入“管理”���,快速點(diǎn)“服務(wù)”,按快捷鍵K��,找到服務(wù)kkdc:
Kerberos Key Distribution Centers
迅速雙擊�����,停止服務(wù)�����,再將其禁止����。
進(jìn)入windows\system32目錄,將cmd改名�����,雙擊執(zhí)行。
rmdir d:\runauto.../ /q /s �����,將該目錄刪除�。
del /f /q /a %systemroot%/setuprs.pif
del /f /q /a %systemroot%/lsass.exe
將system32的regedit 改名,執(zhí)行�,將
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Image File Execution Options]
下面的cmd.exe,regedit.exe,regedit32.exe和msconfig.exe項(xiàng)直接刪除。(里面都有debug=setuprs1.pif鍵值)���。
再去網(wǎng)上下一個(gè)auto查殺工具���,基本就可以殺干凈了。
下面是網(wǎng)上找的比較系統(tǒng)的查殺辦法:
病毒添加服務(wù):
kkdc=C:\WINDOWS\lsass.exe
system用戶進(jìn)程:
lsass.exe(和系統(tǒng)的一樣哦����,WINDOWS\lsass.exe �����,占用7m內(nèi)存�����,系統(tǒng)的才1m多,手動(dòng)
停止
服務(wù)后即可�����,不用結(jié)束進(jìn)程)
可能有的進(jìn)程:
cmd.exe.exe
釋放到%windir%即%SystemRoot%目錄的病毒:
WINDOWS\cmd.exe.exe (驗(yàn)證md5后�,和系統(tǒng)的一致,病毒只是改名改路徑�,不過(guò)還是
建議刪除,因?yàn)橛蠧:\WINDOWS\cmd.exe.exe或者病毒修改注冊(cè)
表禁止軟件所以不能在開(kāi)始菜單里運(yùn)行cmd以及批處理等��。)
WINDOWS\lsass.exe
WINDOWS\regedit.exe.exe (驗(yàn)證md5后�,和系統(tǒng)的一致,病毒只是改名����,建議刪除)
WINDOWS\setuprs1.PIF
分區(qū)根目錄及文件:
目錄runauto...\ (最后的“.\”當(dāng)然不會(huì)顯示了,寫這個(gè)符號(hào)表示這個(gè)目錄進(jìn)不了)
文件runauto..\autorun.pif (其實(shí)就是lsass.exe�����,大小一樣���,名字不同而已�����。)
文件autorun.inf.tmp (下面附它里面的內(nèi)容)
[AutoRun]
open=RUNAUT~1\autorun.pif
shell\1=打開(kāi)(&O)
shell\1\Command=RUNAUT~1\autorun.pif
shell\2\=瀏覽(&B)
shell\2\Command=RUNAUT~1\autorun.pif
shellexecute=RUNAUT~1\autorun.pif
=================手動(dòng)解決方法:======================
推薦用“開(kāi)始-運(yùn)行-command”操作��。
先顯示所有隱藏文件���、系統(tǒng)文件�����。(不會(huì)�?控制面板-文件夾選項(xiàng)-查看-自己慢慢看)
先刪除C:\WINDOWS\cmd.exe.exe (如果沒(méi)有就跳過(guò)這步)
右健點(diǎn)擊install.inf選擇安裝修復(fù)文件關(guān)聯(lián)����。
(install.inf下載http:///bbscon.php?bid=67&id=66423&ap=595
特別注意!install.inf只用于XP系統(tǒng),而且系統(tǒng)不安裝在C盤的不要用?�。?
從C:\WINDOWS\system32\dllcache\regedit.exe復(fù)制到C:\WINDOWS\regedit.exe
從C:\WINDOWS\system32\dllcache\cmd.exe復(fù)制到C:\WINDOWS\system32\cmd.exe
改名cmd為隨機(jī)數(shù)字的文件名并運(yùn)行(或者試試開(kāi)始-運(yùn)行-command)
輸入下面3條命令:
net stop kkdc
sc stop kkdc (這條只是監(jiān)測(cè)是否已經(jīng)刪除服務(wù))
sc delete kkdc
剩下就刪除文件即可:
DEL /F /Q /A %SystemRoot%\cmd.exe.exe
DEL /F /Q /A %SystemRoot%\lsass.exe
DEL /F /Q /A %SystemRoot%\regedit.exe.exe
DEL /F /Q /A %SystemRoot%\setuprs1.PIF
“runauto..”這個(gè)文件夾不能直接刪除����,要用下面命令(X代表盤符,比如C�����、D?�。?
rd /s /q X:\runauto...\
或者
rd /s /q runaut~1
清理注冊(cè)表:
開(kāi)始-運(yùn)行-regedit等程序或者即使你直接雙擊打開(kāi)regedit程序��,也會(huì)出現(xiàn)提示對(duì)話框
:
Windows找不到文件‘regedit‘�����。請(qǐng)確定文件名是否正確后��,再試一次�����。要搜索文件�����,
請(qǐng)單擊[開(kāi)始]按鈕��,然后單擊"搜索"�。
如果你把文件名改名字后就可以打開(kāi)了。殺毒之后�����,把regedit.exe改名字,然后打開(kāi)���,
打開(kāi)下面的項(xiàng):
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options]
如存在如下項(xiàng)刪除:
cmd.exe
cmd.com
msconfig.exe
msconfig.com
360safe.exe
avp.com
avp.exe
adam.exe
EGHOST.exe
IceSword.exe
iparmo.exe
kabaload.exe
KRegEx.exe
KvDetect.exe
KVMonXP.kxp
KvXP.kxp
MagicSet.exe
mmsk.exe
NOD32.exe
PFW.exe
PFWLiveUpdate.exe
QQDoctor.exe
Ras.exe
Rav.exe
RavMon.exe
regedit.exe
regedit.com
regedt32.exe
runiep.exe
SREng.EXE
TrojDie.kxp
WoptiClean.exe
順便說(shuō)另一個(gè)限制軟件運(yùn)行的地方(XP系統(tǒng)):
開(kāi)始-運(yùn)行-輸入“gpedit.msc”打開(kāi)組策略-本地計(jì)算機(jī)策略-計(jì)算機(jī)配置-
Windows設(shè)置-安全設(shè)置-軟件限制策略-其它規(guī)則��,看到有限制的刪除即可��。
重啟后再檢查清理一次���,然后就可以上網(wǎng)了。
建議步驟:
從C:\WINDOWS\system32\dllcache\msconfig.exe復(fù)制到
C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe覆蓋原有文件�。
其他說(shuō)明:
刪除NTFS分區(qū)的Autorun.inf免疫目錄方法:
echo Y|cacls X:\Autorun.inf /T /C /P everyone:F & RD /S /Q X:\Autorun.inf
清理注冊(cè)表也可以用下面的命令:
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Exe
cuti
on Options\msconfig.exe" /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Exe
cuti
on Options\regedit.exe" /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Exe
cuti
on Options\regedt32.exe" /f
|
