彻底清除“灰鸽子”runauto..病毒[转贴]
作者:hesper 日期:2007-06-01
前两天发的那篇清除runauto..病毒的帖子,但是重启之后病毒一直会死灰复燃。
原先以为它只是之前U盘病毒的升级版而已~看样子我是完全低估这个对手了,仔细查了一下,竟然是大名鼎鼎的“灰鸽子”。这回终于见着它的庐山真面目了。
下载了毒霸的“灰鸽子”专杀,没用。每次都能找到病毒,并显示已清除,但只要再扫描一遍,又是发现病毒,并已清除。。。根本就没有清除嘛。。。
又仔细研究了一下,终于找到了对策。
首先调出“任务管理器”,如果发现有两个lsass.exe进程,则基本可以确定你中招了。
确定中招后,不急。重启进“安全模式”
进“任务管理器”找到所有的cmd.exe进程,全部终结。
在C盘根目录下新建一个文本文件,重命名为123.bat
右键点击,选择“编辑”
输入如下字符(假设你有C、D、E三个盘,autorun文件可以在XP下手动删除):
cd\
del /f/q/a autorun.*
rd/s/q runauto...\
d:
del /f/q/a autorun.*
rd/s/q runauto...\
e:
del /f/q/a autorun.*
rd/s/q runauto...\
net stop kkdc
sc stop kkdc
sc delete kkdc
del /f/q/a %systemroot%\cmd.exe.exe
del /f/q/a %systemroot%\lsass.exe
del /f/q/a %systemroot%\regedit.exe.exe
del /f/q/a %systemroot%\setuprs1.pif
保存,退出。然后双击执行。
从C:\WINDOWS\system32\dllcache\regedit.exe复制到C:\WINDOWS\regedit.exe
从C:\WINDOWS\system32\dllcache\cmd.exe复制到C:\WINDOWS\system32\cmd.exe
(如果没有的也不要紧)
“开始”-“运行”-regedit 或直接双击打开regedit程序,此时WINDOWS会提示你:
“Windows找不到文件'regedit'。请确定文件名是否正确后,再试一次。要搜索文件,请单击[开始]按钮,然后单击"搜索"。”
不管它,把文件名改名字后就可以打开了。把regedit.exe改名字,随便改123.exe然后打开,
打开下面的项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options]
如存在如下项删除:
cmd.exe
cmd.com
msconfig.exe
msconfig.com
360safe.exe
avp.com
avp.exe
adam.exe
EGHOST.exe
IceSword.exe
iparmo.exe
kabaload.exe
KRegEx.exe
KvDetect.exe
KVMonXP.kxp
KvXP.kxp
MagicSet.exe
mmsk.exe
NOD32.exe
PFW.exe
PFWLiveUpdate.exe
QQDoctor.exe
Ras.exe
Rav.exe
RavMon.exe
regedit.exe
regedit.com
regedt32.exe
runiep.exe
SREng.EXE
TrojDie.kxp
WoptiClean.exe
关闭注册表。把名字改回来regedit.exe
重启,一切OK!
PS.有些人可能会无法打开msconfig,没问题:
从C:\WINDOWS\system32\dllcache\msconfig.exe复制到:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe覆盖原有文件即可。
还有一些中招者的WINDOWS目录下可能会出现几个隐藏文件:r.exe r0.exe r00.exe r007.exe……等随机出现的r开头的exe隐藏文件。全部删除。我不知道这几个文件有什么用,反正没中招的机子上是没有的。删除之后也没有对系统造成任何影响。所以还是建议删除!
[本日志由 hesper 于 2007-06-01 11:26 PM 编辑]
文章来自: 转帖
引用通告地址: http://www.wantfly.cn/trackback.asp?tbID=247
Tags:



评论: 0 | 引用: 0 | 查看次数: 3719
发表评论