神马文学网runauto 病毒删除方法
来源:百度文库 编辑:神马文学网 时间:2024/04/28 17:25:37
runauto 病毒删除方法
前两天电脑中毒了,系统中多了一个lsass.exe进程,且无法结束该进程,系统中的cmd regedit msconfig 等工具都不能正常打开,很是郁闷,最后自己费了好大的工夫才清除了这东西.我从网上找到了一篇解决该病毒的文章,希望对大家有用.
*****************************************************
我的系统一直保持版本最新的,反病毒软件norton security 2005也及时更新,但还是染上了runauto病毒。该病毒很难对付,据说通过U盘的自动执行感染。该病毒症状如下:
双击打开系统盘报错,说找不到打开方式。
用WIN+E打开,点左边的树形目录,将所有隐藏文件打开,会看到有隐藏的目录 runauto...,autorun.inf,autorun.inf.tmp等文件。runauto...目录不能删除。
norton报发现lsass.exe病毒和setuprs.pif 病毒,但清除失败。norton的名字是killAV。
打开“运行”,敲入cmd,regedit,regedit32,msconfig都说找不到该程序。“windows 找不到文件‘msconfig’,请确定文件名是否正确后再试一次。”
直接进入system32,发现cmd.exe,regedit.exe,regedit32.exe都在,但执行时报找不到该程序错误。
任务管理器的进程列表里有两个lsass.exe,且都不能结束。
windows目录下有lsass.exe和setuprs.pif,且都不能删除。
右键点击“我的电脑”,点“管理”,窗口马上被自动关闭。
我的解决办法:
首先,进入“管理”,快速点“服务”,按快捷键K,找到服务kkdc:
Kerberos Key Distribution Centers
迅速双击,停止服务,再将其禁止。
进入windows\system32目录,将cmd改名,双击执行。
rmdir d:\runauto.../ /q /s ,将该目录删除。
del /f /q /a %systemroot%/setuprs.pif
del /f /q /a %systemroot%/lsass.exe
将system32的regedit 改名,执行,将
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Image File Execution Options]
下面的cmd.exe,regedit.exe,regedit32.exe和msconfig.exe项直接删除。(里面都有debug=setuprs1.pif键值)。
再去网上下一个auto查杀工具,基本就可以杀干净了。
下面是网上找的比较系统的查杀办法:
病毒添加服务:
kkdc=C:\WINDOWS\lsass.exe
system用户进程:
lsass.exe(和系统的一样哦,WINDOWS\lsass.exe ,占用7m内存,系统的才1m多,手动
停止
服务后即可,不用结束进程)
可能有的进程:
cmd.exe.exe
释放到%windir%即%SystemRoot%目录的病毒:
WINDOWS\cmd.exe.exe (验证md5后,和系统的一致,病毒只是改名改路径,不过还是
建议删除,因为有C:\WINDOWS\cmd.exe.exe或者病毒修改注册
表禁止软件所以不能在开始菜单里运行cmd以及批处理等。)
WINDOWS\lsass.exe
WINDOWS\regedit.exe.exe (验证md5后,和系统的一致,病毒只是改名,建议删除)
WINDOWS\setuprs1.PIF
分区根目录及文件:
目录runauto...\ (最后的“.\”当然不会显示了,写这个符号表示这个目录进不了)
文件runauto..\autorun.pif (其实就是lsass.exe,大小一样,名字不同而已。)
文件autorun.inf.tmp (下面附它里面的内容)
[AutoRun]
open=RUNAUT~1\autorun.pif
shell\1=打开(&O)
shell\1\Command=RUNAUT~1\autorun.pif
shell\2\=浏览(&B)
shell\2\Command=RUNAUT~1\autorun.pif
shellexecute=RUNAUT~1\autorun.pif
=================手动解决方法:======================
推荐用“开始-运行-command”操作。
先显示所有隐藏文件、系统文件。(不会?控制面板-文件夹选项-查看-自己慢慢看)
先删除C:\WINDOWS\cmd.exe.exe (如果没有就跳过这步)
右健点击install.inf选择安装修复文件关联。
(install.inf下载http://lsxk.org/bbscon.php?bid=67&id=66423&ap=595
特别注意!install.inf只用于XP系统,而且系统不安装在C盘的不要用!)
从C:\WINDOWS\system32\dllcache\regedit.exe复制到C:\WINDOWS\regedit.exe
从C:\WINDOWS\system32\dllcache\cmd.exe复制到C:\WINDOWS\system32\cmd.exe
改名cmd为随机数字的文件名并运行(或者试试开始-运行-command)
输入下面3条命令:
net stop kkdc
sc stop kkdc (这条只是监测是否已经删除服务)
sc delete kkdc
剩下就删除文件即可:
DEL /F /Q /A %SystemRoot%\cmd.exe.exe
DEL /F /Q /A %SystemRoot%\lsass.exe
DEL /F /Q /A %SystemRoot%\regedit.exe.exe
DEL /F /Q /A %SystemRoot%\setuprs1.PIF
“runauto..”这个文件夹不能直接删除,要用下面命令(X代表盘符,比如C、D啊)
rd /s /q X:\runauto...\
或者
rd /s /q runaut~1
清理注册表:
开始-运行-regedit等程序或者即使你直接双击打开regedit程序,也会出现提示对话框
:
Windows找不到文件'regedit'。请确定文件名是否正确后,再试一次。要搜索文件,
请单击[开始]按钮,然后单击"搜索"。
如果你把文件名改名字后就可以打开了。杀毒之后,把regedit.exe改名字,然后打开,
打开下面的项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options]
如存在如下项删除:
cmd.exe
cmd.com
msconfig.exe
msconfig.com
360safe.exe
avp.com
avp.exe
adam.exe
EGHOST.exe
IceSword.exe
iparmo.exe
kabaload.exe
KRegEx.exe
KvDetect.exe
KVMonXP.kxp
KvXP.kxp
MagicSet.exe
mmsk.exe
NOD32.exe
PFW.exe
PFWLiveUpdate.exe
QQDoctor.exe
Ras.exe
Rav.exe
RavMon.exe
regedit.exe
regedit.com
regedt32.exe
runiep.exe
SREng.EXE
TrojDie.kxp
WoptiClean.exe
顺便说另一个限制软件运行的地方(XP系统):
开始-运行-输入“gpedit.msc”打开组策略-本地计算机策略-计算机配置-
Windows设置-安全设置-软件限制策略-其它规则,看到有限制的删除即可。
重启后再检查清理一次,然后就可以上网了。
建议步骤:
从C:\WINDOWS\system32\dllcache\msconfig.exe复制到
C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe覆盖原有文件。
其他说明:
删除NTFS分区的Autorun.inf免疫目录方法:
echo Y|cacls X:\Autorun.inf /T /C /P everyone:F & RD /S /Q X:\Autorun.inf
清理注册表也可以用下面的命令:
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Exe
cuti
on Options\msconfig.exe" /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Exe
cuti
on Options\regedit.exe" /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Exe
cuti
on Options\regedt32.exe" /f