QQ登录

只需一步,快速开始

登录 | 注册 | 找回密码

三维网

 找回密码
 注册

QQ登录

只需一步,快速开始

展开

通知     

查看: 3703|回复: 7
收起左侧

[求助] runauto病毒如何彻底清除

[复制链接]
发表于 2007-5-20 21:39:55 | 显示全部楼层 |阅读模式 来自: 中国山东青岛

马上注册,结识高手,享用更多资源,轻松玩转三维网社区。

您需要 登录 才可以下载或查看,没有帐号?注册

x
runauto病毒如何彻底清?那个软件能清除,如何防止中毒
发表于 2007-5-20 21:50:54 | 显示全部楼层 来自: 中国上海
现在在u盘上经常看到一个病毒文件runauto。。(隐藏属性),用正常的删除方法的无法删除的,很多人会选择格式化u盘,但这样能盘的使用寿命有一样影响,而且不方便。 : X4 r& T' u! O6 W, o& e8 s
6 e; X% E7 M8 L. J! |, ~5 I  R
好了,以下对这个文件进行分析:
. T' f) ]$ {: h& p3 a$ T3 P
: Q, H8 [, `- m: r其实该文件夹是由dos创建的,全名应该为runauto...说到这里你应该知道为什么不能删了吧。 % ?$ e7 N( `/ Z! |9 b: z

# q: ~; ^: @8 g" @这样删的方法好易了:(以 D 盘为例) ; `  B  B8 F4 ^
开始——运行——输入“cmd”——输入“D: ”——输入“rd /s/q runauto...\ ”
/ U) I* T; s# X# E4 O
. a, N2 I" r2 g+ q* S2.无法删除"runauto.."文件夹。 0 G: h/ R, {7 ?* r
解决方法:该文件夹真正的名称为"runauto...\" 执行RMDIR C:\runauto...\ /S /Q即可删除。
; G0 |& I# H( {, u9 k; `  U3 v. t4 b/ J0 @( S1 q5 ?, @
3.我写了一个专门的批处理命令行来删除所有的文件: & `0 f7 y" f: m5 K# e$ A& B" r2 O

2 T  o! Z9 M- }/ d1 j0 u& q2 V--------------------命令行工具开始-------------------- ' ]5 B6 L1 S6 {: ~3 k) Q6 j
@echo off 4 Y. P, l- c) a& w8 E% w" m: `
echo "先中止病毒进程"
& q/ H! n5 X) M3 Q& gNET STOP "Kerberos Key Distribution Centers"
4 p9 P4 S5 U2 t0 V
' n& n! I3 B$ k* `# P% recho "删除C盘病毒文件"
& a, y# W1 O$ c: ^; |DEL C:\WINDOWS\lsass.exe /F /Q /A R H S A + J5 J/ Y) I, Q8 e/ _
DEL C:\WINDOWS\setuprs1.pif /F /Q /A R H S A , [; [& J- ~0 e5 ?+ V: p
DEL C:\WINDOWS\cmd.exe.exe /F /Q /A R H S A . V5 z! d2 P' [' b: Y( d# S5 u
DEL C:\WINDOWS\regedit.exe.exe /F /Q /A R H S A ( i+ y6 r. E4 D
DEL C:\WINDOWS\r.exe /F /Q /A R H S A : M) X: G) z( {9 b3 U

. b' T, E* k' N! jecho "删除各个分区根目录下文件,需要根据各个电脑的分区数量进行调整"
6 ?( i' z0 F- W2 e8 cRMDIR C:\runauto...\ /S /Q
2 V3 E+ |  v1 `/ {DEL C:\autorun.* /F /Q /A R H S A
( |# ^' e3 H6 D6 k- vRMDIR D:\runauto...\ /S /Q ( j9 L5 y% Z( Q
DEL D:\autorun.* /F /Q /A R H S A
5 Q9 p" l4 u# g7 sRMDIR E:\runauto...\ /S /Q " L3 q4 c) o9 B& v" H
DEL E:\autorun.* /F /Q /A R H S A + V1 `! W- I9 P7 a& F
RMDIR F:\runauto...\ /S /Q
% U. Q8 n) ?. L* |5 s6 JDEL F:\autorun.* /F /Q /A R H S A
2 H3 g6 s: ^$ Y' V& c: GRMDIR G:\runauto...\ /S /Q 7 d8 p3 ]; W5 }+ U3 _
DEL G:\autorun.* /F /Q /A R H S A
/ H0 L3 j7 x/ _1 G+ M$ W1 x1 W# A# e" L1 j
COPY C:\WINDOWS\regedit.exe C:\WINDOWS\ghregedi.exe
* b4 ?! J  d/ U5 n2 E& xecho "注册表编辑器已备份为ghregedi.exe" " k* w4 x! p' O9 f; j

4 S( \! \, K) I* t! iCOPY C:\WINDOWS\SYSTEM32\cmd.exe C:\WINDOWS\SYSTEM32\ghcmd.exe
$ w6 k( E2 [/ a/ C2 R  iecho "命令行工具已备份为ghcmd.exe"
6 x( _. n. e9 R0 V
/ C& g2 ?) G( C% U3 {8 E+ Z& uecho "文件删除完毕,请重新启动并清理注册表相关项。" : I/ u; W: Q5 s! A. Q) t
0 s, k# M' f7 u# U
--------------------命令行工具结束--------------------
" v$ t( {8 @: g+ G8 L% j6 F
/ o' C2 V8 Z7 V" w新建一个记事本文档,把分割线之间的内容复制进去(不包括分割线),另存为123.bat然后执行即可。] ' k% G8 k1 e, m# T
我听说有一些runauto的专杀工具,不知道行不,你可以试一下
  x+ h& U$ s: s5 f. `& d/ d* V& i1 L) E+ {' \
引自 http://zhidao.baidu.com/question/26151591.html
 楼主| 发表于 2007-5-20 22:18:37 | 显示全部楼层 来自: 中国山东青岛
dos下删除风险太多,我在删除病毒过程中却删除了整个盘的资料,盘中资料没有了,但是在进入时此盘中还有runauto病毒??所以不想使用这种方法,请问有没有软件清除
发表于 2007-5-27 12:31:37 | 显示全部楼层 来自: 中国上海
首先请先设置显示所有文件。
  W. O: I# m& T) p1 U(“我的电脑”,“工具”,“文件夹选项”,“查看”选项卡:勾选“显示系统文件夹的内容”,取消“隐藏受保护的操作系统文件”,取消“隐藏已知文件类型的扩展名”,选择“显示所有文件和文件夹”,基于安全理由,我强烈建议大家使用此作为以后的长期设置,便于发现病毒和识别危险文件。)
+ y2 m3 W. ], G) u1.在各个分区根目录下面出现名为“runauto..”的文件夹,“autorun.inf”或“autorun.inf.tmp”的文件。6 {) A& Z' @9 L$ [, A1 o
2.在C:\WINDOWS\下面出现lsass.exe,cmd.exe.exe,regedit.exe.exe,setuprs1.pif文件。
! m* S8 ?2 I1 ?  j/ K3.打开任务管理器会发现有两个名为lsass.exe的进程。
! u  C$ J, E. d6 o  k4.在我的电脑里面打开每一个分区都是以新窗口打开的。
; b- M  L! y3 _  }5.MMC控制台打开以后很短时间内会自动关闭。& g; ~# G, J( {4 V* L  X3 c! o
6.U盘或移动硬盘出现无法打开的问题。(会出现一个打开方式的窗口)
: [, b, g- }7 ^* }; i5 J; L: [$ f6 z基本上前3点都很明显了,后面3点也是系统异常,正常的lsass.exe是系统进程,并且只会同时运行一个,正确的路径是C:\WINDOWS\SYSTEM32\lsass.exe。  @% l2 H/ y6 ~
以下部分内容参考网上的信息,另结合个人总结% `. X0 J+ F9 Q- F" G- {7 }0 N- x
********************木马隐藏的所有地方******************- r: d4 l  V! d# ]" z
一,注册表项
* V1 Q+ Y. D( u+ B! `& e/ E8 C1.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\! v- a0 a0 v0 Y& u
查看cmd.exe,msconfig.exe,regedit.exe,regedt32.exe等项,建议把该树下的每一个项目都仔细查看,发现值为"setuprs1.pif"或"xxx.pif"的都删掉,同时搜索硬盘内对应的"xxx.pif"文件。
1 i5 E+ t# G  b3 K2.HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kkdc( D% ~' }" u# E, n* E
3.HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
9 f0 x* Y9 V4 g; O中的"C:\\WINDOWS\\lsass.exe"="C:\\WINDOWS\\lsass.exe:*:Enabled:lsass.exe"
: z. i, m: l& S4.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kkdc- Q9 y( s5 ~7 c0 l; B, l% A
5.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
0 d$ V* n7 T1 B! _8 u- D中的"C:\\WINDOWS\\lsass.exe"="C:\\WINDOWS\\lsass.exe:*:Enabled:lsass.exe"
& b! D) [# V0 |1 W建议在注册表编辑器中搜索"lsass.exe"发现路径不是"C:\WINDOWS\SYSTEM32\lsass.exe"的都要删掉。
. s2 w% `! i8 N3 M二,文件和文件夹
! w+ ]1 R  s) ?7 x. k) u1.各个分区根目录下面的"runauto.."文件夹,其真正的文件夹名为"runauto...\",删除使用如下命令:6 O1 k  m) `7 T# w6 u6 v; z
RMDIR C:\runauto...\ /S /Q6 V, j9 \  n: P0 b1 E2 Z& J
2.各个分区根目录下面的"autorun.inf"或"autorun.inf.tmp"文件,建议使用如下命令删除:; G- `$ m9 d6 v" m& u
DEL C:\autorun.* /F /Q /A R H S A) a/ E5 X! _+ ?2 {9 X
3.Windows目录下面的lsass.exe,cmd.exe.exe,regedit.exe.exe,setuprs1.pif和其他图标为透明的exe文件例如r.exe
6 }- B7 l; k6 V! h, c删除命令:
  G" V: K8 P+ C6 q5 m4 P# G* x% XDEL C:\WINDOWS\lsass.exe /F /Q /A R H S A
$ C- M7 d8 C# c8 x% F, GDEL C:\WINDOWS\setuprs1.pif /F /Q /A R H S A+ }  s( p' `- \* Z# u" Z
DEL C:\WINDOWS\cmd.exe.exe /F /Q /A R H S A
  n' m# ^/ H& B/ yDEL C:\WINDOWS\regedit.exe.exe /F /Q /A R H S A
  t; t" U6 U- ?$ u) a8 kDEL C:\WINDOWS\r.exe /F /Q /A R H S A1 |+ |9 j; T1 [1 |9 W
********************手工清杀方法******************8 p: f' ]3 a6 b- t( u
知道了木马隐藏的地方,对照着自己清理就行了,不过该木马使用了很多保护自己的方法,可能会面对无法删除文件或无法删除有关注册表项的问题,导致无法杀绝,然后该木马又自动重生,下面结合自己的个人经验说一下有关问题的解决。
- C( d$ L. L& g/ U1.无法删除lsass.exe文件,基本上所有文件里面就这个文件比较难以删除,原因是该进程正在运行,而任务管理器无法中止该任务,而且如果该进程不杀掉的话所有工作会白费,木马会重新建立。
% {% y' ~3 [( m# |9 b4 C3 n解决方法:
( L) N' k! [7 _8 f0 i( d7 x/ N1)通过NET STOP "Kerberos Key Distribution Centers"中止木马进程,可以直接在运行里面运行,也可以在命令行里面运行。注意由于该木马自动关联了cmd.exe,regedit.exe等有关工具,所以在使用这些工具的时候先把有关文件copy出来,改成其他文件再运行,如regedit.exe copy 成123.exe,文件本身是没有被修改的,但是由于注册表中的关联,所以在执行这些文件的时候会自动执行木马进程,所以要先改名再运行。把进程关掉,然后删掉所有文件,再使用改过名的注册表编辑器打开注册表,删掉有关键值,重启即可。
* w6 ~  v3 a1 @. H2)下载进程终结工具终结该进程。3)启动到DOS模式删除有关所有文件,只要能把所有木马的文件删掉,即使注册表还未清理,但是因为木马本身已被杀掉了,所以是不起作用的,重启以后进windows清理注册表即可。- ]$ S1 K' C2 u- z
2.无法删除"runauto.."文件夹。
3 u8 f: a' @! w0 f" z4 Y解决方法:该文件夹真正的名称为"runauto...\" 执行RMDIR C:\runauto...\ /S /Q即可删除。
  _" g1 L0 |+ g5 T" I3.我写了一个专门的批处理命令行来删除所有的文件:
$ A0 t7 a7 j2 S! S--------------------命令行工具开始--------------------
+ T! E4 }3 z9 D! g% c7 T@echo off
# p  ]( [/ G' h9 O: S; E/ f# Eecho "先中止病毒进程"3 C. p. B8 c+ `1 c# R, Y. @7 }
NET STOP "Kerberos Key Distribution Centers"
# o6 `7 S! V: L' R5 ~3 y/ H. l: Cecho "删除C盘病毒文件"
# d) {# d7 `  G. hDEL C:\WINDOWS\lsass.exe /F /Q /A R H S A
, c: D' n- u$ k6 r$ U6 T! UDEL C:\WINDOWS\setuprs1.pif /F /Q /A R H S A0 H% |  I1 i6 m' |% E
DEL C:\WINDOWS\cmd.exe.exe /F /Q /A R H S A+ ^- o' S1 K0 M2 O5 M0 k
DEL C:\WINDOWS\regedit.exe.exe /F /Q /A R H S A) G0 B6 Y5 k0 l# I# S! v" Q8 V
DEL C:\WINDOWS\r.exe /F /Q /A R H S A
4 Z$ w" x- w3 z6 q; p$ P; `. J7 gecho "删除各个分区根目录下文件,需要根据各个电脑的分区数量进行调整"2 X; r2 P8 \* A( S
RMDIR C:\runauto...\ /S /Q$ _3 u5 T6 o2 x4 r
DEL C:\autorun.* /F /Q /A R H S A
, b3 p6 t( z+ Q, G& x  y2 J6 tRMDIR D:\runauto...\ /S /Q
" D" w' E' b8 U$ N7 {DEL D:\autorun.* /F /Q /A R H S A
+ i7 p. c3 Y* ~1 Z3 n% g" iRMDIR E:\runauto...\ /S /Q( ]. m* M1 C. L5 s
DEL E:\autorun.* /F /Q /A R H S A. O% T+ i- ^  s4 D  g' w
RMDIR F:\runauto...\ /S /Q- ?/ c  f; g# v
DEL F:\autorun.* /F /Q /A R H S A9 b$ C3 ?6 g( d9 t+ Q# j. A
RMDIR G:\runauto...\ /S /Q* C: e$ r9 [0 `5 y
DEL G:\autorun.* /F /Q /A R H S A6 j. _/ ~# o, y, a& V# u. \
COPY C:\WINDOWS\regedit.exe C:\WINDOWS\ghregedi.exe& `( h; p6 J  \- D
echo "注册表编辑器已备份为ghregedi.exe"& R* G9 {3 b' z; I! y( R" Q4 W
COPY C:\WINDOWS\SYSTEM32\cmd.exe C:\WINDOWS\SYSTEM32\ghcmd.exe9 \  O, E+ X0 Y/ g" G, M8 b
echo "命令行工具已备份为ghcmd.exe"5 X1 w/ s% G% v7 D
echo "文件删除完毕,请重新启动并清理注册表相关项。". W8 O6 \, x! J
--------------------命令行工具结束--------------------: _6 m6 |# }" ~, R, p2 m$ n3 ?, B
新建一个记事本文档,把分割线之间的内容复制进去(不包括分割线),另存为123.bat然后执行即可。
发表于 2007-5-27 12:31:51 | 显示全部楼层 来自: 中国上海
没那么复杂 找到那个文件删除 然后把你中毒得磁盘改个名字 然后双击试试!
: T4 l! H5 F& t* K3 n5 s2 `- g一切ok
发表于 2007-5-27 12:33:26 | 显示全部楼层 来自: 中国上海
Unlocker是一个免费的右键扩充工具,使用者在安装后,它便能整合于鼠标右键的操作当中(鼠标右键菜单里会多出一个Unlock的图标),当使用者发现有某个文件或目录无法删除时,只要按下鼠标右键中的“Unlocker”,那么程序马上就会显示出是哪一些程序占用了该目录或文件,接着只要按下弹出窗口中的“Unlock”就能够为你的文件解套。
, f, j) C! J# t0 O9 k8 k/ f; L       Unlocker 不同于其它解锁软件的部分在于它并非强制关闭那些占用文件的程序,而是以解除文件与程序关连性的方式来解锁,因此不会像其它解锁程序一样因为强制关闭程序而造成使用者可能的数据遗失。% Q9 _" L* V. V- ~. F
       多语言版,免费使用。文件大小,191KB
; y( Z: \2 L# y+ L: Z       请大家默认安装路径,否则不能正常运行。
& A: C8 x1 O: _+ w) Q' c" \1 G9 ]* i! D+ K+ g, Q% B
unlocker1.8.5.rar (162.31 KB, 下载次数: 116)
发表于 2007-5-27 12:34:44 | 显示全部楼层 来自: 中国上海
在cmd里执行:
1 p+ z. y8 l  n7 h% r( O6 f  D8 X( j" m' L3 u2 X* q! f! r- }
rmdir /s c:\runauto...\
6 R; \5 Q1 l. \4 D! w& @2 ?/ X9 I& k# B8 s' \
盘符c可以改成别的d,e……
发表于 2007-5-27 12:40:17 | 显示全部楼层 来自: 中国上海
2个发不上来的方法。

1.txt

3.83 KB, 下载次数: 10

2.txt

1.91 KB, 下载次数: 4

发表回复
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Licensed Copyright © 2016-2020 http://www.3dportal.cn/ All Rights Reserved 京 ICP备13008828号

小黑屋|手机版|Archiver|三维网 ( 京ICP备2023026364号-1 )

快速回复 返回顶部 返回列表