OnePig - 2007-4-4 9:26:00
此病毒据传是灰鸽子的一种,中毒后的表现就是在每个磁盘下面都会有名为runauto..的隐藏文件夹存在。主要是通过U盘传播,现在非常泛滥,并且很多杀软还没有关于它的杀毒方法。
经测试后提供手动杀除方法如下(请按照步骤顺序操作):
1、运行regedit打开注册表。
2、在服务中找到Kerberos Key Distribution Centers 服务并停止它。查看进程确保进程列表中只有一个lsass.exe路径为c:\windows\system32。
3、在注册表中清除如下健值:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\]中的cmd.exe、msconfig.exe、regedit.exe、regedt32.exe项。
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\]中的kkdc项
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]中的"C:\\WINDOWS\\lsass.exe"="C:\\WINDOWS\\lsass.exe:*:Enabled:lsass.exe"
查看[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\]中是否存在kkdc项,如存在删除kkdc项。
查看[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]中是否有
"C:\\WINDOWS\\lsass.exe"="C:\\WINDOWS\\lsass.exe:*:Enabled:lsass.exe", 如有则删除"C:\\WINDOWS\\lsass.exe"="C:\\WINDOWS\\lsass.exe:*:Enabled:lsass.exe"。
4、我的电脑-工具-文件夹选项-查看 中“隐藏受保护的操作系统文件”前面的对勾去掉,并选中“显示所有文件和文件夹”确定。
5、在C:\windows目录中找到lsass.exe、regedit.exe.exe、cmd.exe.exe、setuprs1.pif以及有病毒生成的文件这些文件有个特征是“没有图标”的后缀名为.exe的文件。(这些文件是由于在中毒后运行cmd.exe、regedit.exe、regedit32.exe、maconfig.exe时生成的文件,文件名一般为r.exe、r0.exe等。)
6、开始-运行 输入cmd 进入命令提示符。(如果C盘根目录下有runauto..隐藏文件夹和autorun.inf两个存在)在C盘根目录下输入如下命令:
rmdir RUNAUT~1 /s /p
del autorun.inf
如果别的磁盘也有runauto..隐藏文件夹和autorun.inf两个存在则在cmd 下进入相应盘符执行同样操作即可。
注:autorun.inf文件一般只存在于C盘和移动磁盘里,而runauto..隐藏文件夹则是每个磁盘下都会有。
7、确定删除完毕后重新启动机器即可。
经测试后提供手动杀除方法如下(请按照步骤顺序操作):
1、运行regedit打开注册表。
2、在服务中找到Kerberos Key Distribution Centers 服务并停止它。查看进程确保进程列表中只有一个lsass.exe路径为c:\windows\system32。
3、在注册表中清除如下健值:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\]中的cmd.exe、msconfig.exe、regedit.exe、regedt32.exe项。
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\]中的kkdc项
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]中的"C:\\WINDOWS\\lsass.exe"="C:\\WINDOWS\\lsass.exe:*:Enabled:lsass.exe"
查看[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\]中是否存在kkdc项,如存在删除kkdc项。
查看[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]中是否有
"C:\\WINDOWS\\lsass.exe"="C:\\WINDOWS\\lsass.exe:*:Enabled:lsass.exe", 如有则删除"C:\\WINDOWS\\lsass.exe"="C:\\WINDOWS\\lsass.exe:*:Enabled:lsass.exe"。
4、我的电脑-工具-文件夹选项-查看 中“隐藏受保护的操作系统文件”前面的对勾去掉,并选中“显示所有文件和文件夹”确定。
5、在C:\windows目录中找到lsass.exe、regedit.exe.exe、cmd.exe.exe、setuprs1.pif以及有病毒生成的文件这些文件有个特征是“没有图标”的后缀名为.exe的文件。(这些文件是由于在中毒后运行cmd.exe、regedit.exe、regedit32.exe、maconfig.exe时生成的文件,文件名一般为r.exe、r0.exe等。)
6、开始-运行 输入cmd 进入命令提示符。(如果C盘根目录下有runauto..隐藏文件夹和autorun.inf两个存在)在C盘根目录下输入如下命令:
rmdir RUNAUT~1 /s /p
del autorun.inf
如果别的磁盘也有runauto..隐藏文件夹和autorun.inf两个存在则在cmd 下进入相应盘符执行同样操作即可。
注:autorun.inf文件一般只存在于C盘和移动磁盘里,而runauto..隐藏文件夹则是每个磁盘下都会有。
7、确定删除完毕后重新启动机器即可。