注册 | 登录 忘记密码? 51cto首页 | 博客 | 论坛 | 招聘
热点文章 [业内传闻]今天,7月25日..
 帮助
“绿色IT 从我做起”7月获奖名单  负载均衡技术沙龙现场视频、PPT 博主的更多文章>>

关于runauto..的手工清除方法

2007-06-08 17:13:37
此病毒据传是灰鸽子的一种,中毒后的表现就是在每个磁盘下面都会有名为runauto..的隐藏文件夹存在。主要是通过U盘传播,现在非常泛滥,并且很多杀软还没有关于它的杀毒方法。

经测试后提供手动杀除方法如下(请一定按照步骤顺序操作,切忌!!!):

1、运行regedit打开注册表。

2、在控制面板中找到服务管理工具打开服务列表。暂时不对服务进行操作。

3、运行IceSword.exe,在 “文件” - “设置” 中选中“禁止线程创建”。选中后确定。(附件中有此工具)然后在IceSword.exe的进程列表中如果找到路径为C:\windows\lsass.exe的进程 lsass.exe 。右键点击结束此进程。 (确保进程列表中只有一个lsass.exe,路径为c:\windows\system32)。    不关闭 IceSword.exe进行下面操作。


4、在服务列表中找到Kerberos Key Distribution Centers 服务并停止它。

5、在注册表中清除如下健值:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\]中的cmd.exe、msconfig.exe、regedit.exe、regedt32.exe项。

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\]中的kkdc项

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]中的"C:\\WINDOWS\\lsass.exe"="C:\\INDOWS\\lsass.exe:*:Enabled:lsass.exe"

查看[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\]中是否存在kkdc项,如存在删除kkdc项。

查看[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\

AuthorizedApplications\List]中是否有
"C:\\WINDOWS\\lsass.exe"="C:\\WINDOWS\\lsass.exe:*:Enabled:lsass.exe", 如有则删除"C:\\WINDOWS\\lsass.exe"="C:\\WINDOWS\\lsass.exe:*:Enabled:lsass.exe"。

6、再次打开IceSword.exe “文件” - “设置” 把“禁止线程创建”前的对勾去掉。

7、我的电脑 - 工具 - 文件夹选项 - 查看 中“隐藏受保护的操作系统文件”前面的对勾去掉,并选中“显示所有文件和文件夹”,确定。

8、在C:\windows目录中找到lsass.exe、regedit.exe.exe、cmd.exe.exe、setuprs1.pif以及有病毒生成的文件这些文件有个特征是“没有图标”的后缀名为.exe的文件。(这些文件是由于在中毒后运行cmd.exe、regedit.exe、regedit32.exe、maconfig.exe时生成的文件,文件名一般为r.exe、r0.exe等。)找到即删除。注意清空回收站。
9、在C盘(必须)根目录下新建一个文本文件,重命名为123.bat内容如下(作用是删runauto..等等垃圾,里面有停Kerberos服务的不写也可,假设你有C、D、E三个盘文件如下):
cd\
del /f/q/a autorun.*
rd/s/q runauto...\
d:
del /f/q/a autorun.*
rd/s/q runauto...\
e:
del /f/q/a autorun.*
rd/s/q runauto...\
net stop kkdc
sc stop kkdc
sc delete kkdc
del /f/q/a %systemroot%\cmd.exe.exe
del /f/q/a %systemroot%\lsass.exe
del /f/q/a %systemroot%\regedit.exe.exe
del /f/q/a %systemroot%\setuprs1.pif
保存,退出。然后双击执行。
重启,一切OK!




    相关文章
灰鸽子病毒手工清除方法
灰鸽子病毒——网络神偷之后应用最广的反弹..
请教于国富律师——怎样把灰鸽子病毒和灰鸽..
灰鸽子拒认病毒身份辩称是远程管理软件
灰鸽子敢说自己不是病毒?
安全七招全面围剿"灰鸽子"病毒
当"熊猫"遇见"鸽子"
ARP病毒攻击技术分析与防御
彻底清除SMSS.EXE病毒
    文章评论
 
 

发表评论

昵   称:
验证码:  点击图片可刷新验证码  博客过2级,无需填写验证码
内   容: