关于最新的Auto.exe病毒变种 手工清除方法。
前两天听说了,没想到今天公司里居然中了一片。
症状为:任务管理器,注册表编辑器,命令提示符,系统配置程序会被自动关闭,无法结束进程。不显示隐藏文件(太老套了)。常见的工具软件无法运行。但最令我奇怪的是,卡巴斯基居然好好的,只是查不出来毒。
直接说步骤了:
1。上网下载工具(可以上网,不错哎)sreng2,USBcleaner,PowerRmv(这个也可以不下)。
2。重启至安全模式,开机后不停的按F8键,肯定会看到的。
3。先显示隐藏文件,运行regedit,定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]将"CheckedValue"=dword:00000000这个值改为1,保险起见,可以直接把这个删了,新建一个DWORD Value,名字为CheckedValue,值为1。再到文件夹设置里面,显示隐藏文件,OK。
4。用PowerRmv将每个盘的根目录下的所有vbs结尾的文件和autorun.inf及其它未知的exe文件,如svchost.exe之类都删除,并选中“抑制杀灭对象再次生成”,当然如果没有这个软件,使用winrar或者acdsee在把病毒文件删除后,新建一个同名的文件夹,如文件夹autorun.inf,然后设置成隐藏,只读。还有系统盘windows\system32下有两个病毒文件:xxx.vbs xxx.inf,文件名是你的用户名,inf里面记录的应该感染时间和染毒的标记。删了再建两个同名文件夹,设为只读。
5。运行sreng2,把load键值删除,自动修复下,包括文件关联。
6。正常启动,各盘双击打不开,运行USBCleaner6.0,清除盘符下的auto或open字样,搞定。
7。最后提示一下,即使在安全模式下,也不要双击盘符,我在清除第二台电脑时大意了一下,把安全模式下的administrator也染上了,结果只好把guest提升为管理员,用guest清除后,再改回去的,多走了一步。如果需要看文件或者删除病毒体,在运行里输入:winrar或者acdsee都可以。(前提是你装了哦~)
8。正常的话,几分钟搞定。
[ 本帖最后由 tomi_ak47 于 2007-10-12 20:37 编辑 ]
