auto.exe和autorun.inf查杀方法
来源:互联网 发布:折半查找算法c语言 编辑:程序博客网 时间:2024/05/16 04:02
一.症状分析:
1.时间被修改为2005年,每个盘的根目录有auto.exe,autorun.inf生成.
2.在windows下生成如下后缀名为.exe病毒程序.
3.在system32下生成如下病毒文件:(不包括drivers文件夹)
4.病毒加载的启动项如下:
5.病毒加载到注册表中run启动项的图示:
6.病毒运行后生成如下服务:
(注册表中服务位置:
a.HKEY_USERS/S-1-5-18/SYSTEM/CurrentControlSet/Services/711EC3AE
b.HKEY_USERS/.DEFAULT/SYSTEM/CurrentControlSet/Services/711EC3AE
c.HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/711EC3AE
d.HKEY_CURRENT_USER/SYSTEM/CurrentControlSet/Services/711EC3AE
e.HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/711EC3AE)
7.病毒.dll文件注入到explorer.exe线程图示:
8.病毒下载添加到IE临时文件中(路径:右击IE看属性哪里看临时文件目录,我更改后在这个位置:D:/IE临时文件/Temporary Internet Files)
9.病毒还可能存在的注册表位置:HKEY_CURRENT_USER/Software/Microsoft/Windows/ShellNoRoam/MUICache中.
二.解决方法:
1.断网.
2.结束explorer.exe(因为病毒文件注入到explorer.exe线程,所有杀毒都需要在结束explorer.exe后进行,我们查看文件就通过"ctrl+alt+del"或者"ctrl+alt+esc"调出任务管理器来进行病毒查杀操作).
3.先在任务管理器的新建运行中输入"services.msc"打开服务,找到711EC3AE先禁用,然后在运行中输入"regedit"搜索"711EC3AE"找到删除,或者看上面分析中的路径直接找到删除.
4.通过任务管理器新建运行输入msconfig -5然后把下面隐藏微软服务的勾打上,看这里新增加的服务,找到禁用.然后看系统配置实用程序的启动项,把那些启动的病毒程序勾去掉,(具体如上图所示)还是通过任务管理器进去删除上面图示的所有病毒文件.
5.同理在任务管理器新建运行中输入"regedit"找到"HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run"然后删除.
再找到这里查看一下右侧:HKEY_CURRENT_USER/Software/Microsoft/Windows/ShellNoRoam/MUICache(病毒在这里也有残留)
6.在任务管理器中新建运行中点浏览找上面分析的各盘病毒文件用"shift+delete"删除.(比如:windows,system32下面的病毒文件,还有各盘的auto.exe,autorun.inf.)
7.然后重启电脑后再运行"%temp%清理一下临时文件,再清理一下IE临时文件和cookies文件.(路径:右击IE属性查看可找到具体位置)
8.最后把时间更改过来.
(注:杀毒中间不能加载explorer.exe这个进程,不然病毒会死灰复燃.)
三.批处理查杀病毒(朋友编写):把下面内容复制到记事本中将.txt更改后缀名为.cmd,双击运行第二个自动查杀,.如有清理不了的,我们可以借助快捷键打开任务管理器到具体路径再手工清理一下.)
1.cmd
tskill iexplore
tskill explorer
tskill rundll32
del/a/s/f/q c:/autorun.inf
del/a/s/q/f c:/auto.exe
del/a/s/f/q d:/autorun.inf
del/a/s/q/f d:/auto.exe
del/a/s/f/q e:/autorun.inf
del/a/s/q/f e:/auto.exe
del/a/s/f/q f:/autorun.inf
del/a/s/q/f f:/auto.exe
del/a/s/f/q g:/autorun.inf
del/a/s/q/f g:/auto.exe
%0
kill.cmd(文件名)
tskill iexplore
tskill explorer
tskill rundll32
sc config 711EC3AE start= DISABLED
net stop 711EC3AE
start 1.cmd
del/a/s/f/q %temp%/.
del/a/s/f/q c:/windows/tasks/*.job
c:
cd/
del/a/s/f/q *.log
del/a/s/f/q 4a5ac860.*
del/a/s/f/q avpsrv.*
del/a/s/f/q c269d4ca.*
del/a/s/f/q cmdbcs.*
del/a/s/f/q dh2104.*
del/a/s/f/q mosou.*
del/a/s/f/q mstmms32.*
del/a/s/f/q nwizdh.*
del/a/s/f/q nwizqjsj.*
del/a/s/f/q nwizwlwzs.*
del/a/s/f/q nwizwmgjs.*
del/a/s/f/q nwizzhuxians.*
del/a/s/f/q thumbs.db
del/a/s/f/q timhost.*
del/a/s/f/q winform.*
del/a/s/f/q ztinetzt.*
del/a/s/f/q k111970574213.exe
del/a/s/f/q k111970678313.exe
del "C:/Documents and Settings/All Users/「开始」菜单/程序/启动/*.*" /q /f
del "C:/Documents and Settings/Default User/「开始」菜单/程序/启动/*.*" /q /f
del "%userprofile%/「开始」菜单/程序/启动/*.*" /q /f
reg delete HKEY_USERS/S-1-5-18/SYSTEM/CurrentControlSet/Services/711EC3AE /va /f
reg delete HKEY_USERS/.DEFAULT/SYSTEM/CurrentControlSet/Services/711EC3AE /va /f
reg delete HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/711EC3AE /va /f
reg delete HKEY_CURRENT_USER/SYSTEM/CurrentControlSet/Services/711EC3AE /va /f
reg delete HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/711EC3AE /va /f
reg delete HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run /va /f
reg delete HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run /va /f
reg add HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run /v ctfmon.exe /d C:/WINDOWS/system32/ctfmon.exe
(注:1.HKEY_CURRENT_USER/Software/Microsoft/Windows/ShellNoRoam/MUICache的快照。。用户手工去清除一下。2.杀毒后,清理一下IE临时文件和cookies,)
- auto.exe和autorun.inf查杀方法
- SysAnti.exe和autorun.inf病毒的查杀
- autorun.inf和setup.exe的变种
- autorun.inf、servet.exe和ie777.exe木马的手工杀毒方法
- 硬盘双击打不开?原来是dfjje.exe,auto.exe,autorun.inf作怪
- 解读Autorun.inf病毒和autorun.inf
- autorun.inf免疫专杀方法
- autorun.inf 删除方法
- autorun.inf 删除方法
- 杀autorun.inf
- utorun.inf病毒查杀:教你清除autorun.inf病毒
- ymfqplr.exe,autorun.inf,oduxyym.exe,veckdld.exe清除办法
- Windows-详细解析U盘病毒、Autorun.inf文件和RavMonE.exe病毒
- 封杀autorun.inf 以及***.exe变种病毒和修改木马对隐藏文件的影响
- Autorun.inf
- autorun.inf
- AutoRun.inf
- Autorun.inf
- Connection.close()的实现解析
- oracle统计函数
- 四书之《论语》学习日记11
- 整理一下最近的笔记
- “Hello World!”的N种写法
- auto.exe和autorun.inf查杀方法
- 教你理解复杂的C/C++声明
- 写在工作一周年之际
- 一个问过100遍啊100遍的问题
- shawl.qiu Javascript 前景色背景色调色类 / BgColorScheme v1.1
- 由浅至深 谈谈.NET混淆原理 (四) -- 反混淆(原理 + 工具篇)
- 由浅至深,谈谈.NET混淆原理 -- 五(MaxtoCode原理),六(其它保护方法)
- 由浅至深 谈谈.NET混淆原理(三)-- 流程混淆
- jdk5.0 tomcat5.0配置全攻略