Autorun病毒清理手记

记Autorun变种病毒的手工清除
近日用移动硬盘安装的虚拟机在客户那进行现场开发。不想客户机器中有Autorun病毒。拿到公司以后把公司机器也感染上了。于是查找系统进程，发现多了个 lsass.exe文件，于是强行结束任务，不想病毒做的很顽固，清除一个，必定还再次运行。次办法不行。
另想一个办法，打开控制台，想查找那个多出的服务，可还没有一会儿，控制台就会被病毒关闭，反复多次都是还没有看几行，就被关闭了。看来这个办法还是不行。

于是我在运行中输入cmd.exe打开控制台程序，输入

C:/Attrib -s -h lsass.exe /s >c:/lll.Txt

硬盘运行一会儿以后，就可在c:/产生一个 lll.txt文件，用记事本打开，发现系统中有三处 lsass.exe文件，有两处的文件大小是一样的，至此我们找到病毒的源头（c:/windows/lsass.exe），不过这里我要提醒大家，这个病毒是隐藏的。
接着我进入windows目录 运行

cd windows
c:/windows/Attrib -s -h lsass.exe --去除只读属性、隐藏属性
c:/windwos/lsass.exe -stop --停止此进程 我们查看系统进程，发现那个多出的lsass.exe文件已经没有了。
del lsass.exe --删除病毒
cd/

清除病毒源头的步骤
c:/attrib aut*.* /s 列出Autorun病毒 发现有个 Autorun.inf.tmp这个文件
c:/Attrib -s -h Autorun.inf.tmp --我们去除隐藏属性、只读属性
c:/tpye autorun.inf.tmp ---功能：查看病毒调用的病毒体 我这里他是调用的 runaut~1这个目录下的病毒文件，好现在开始清理病毒
c:/del autorun.inf.tmp  --删除病毒源头
c:/attrib -s -h runaut~1
c:/cd runaut~1
c:/runaut~1/attrib -s -h *.*
c:/runaut~1/del /y *.* --删除改目录下的所有文件
c:/runaut~1/cd..
c:/
c:/rd runaut~1 --清除病毒产生的文件夹

这里我们把C:/的Autorun病毒清除掉了，我们如果有几个文件夹就把清除病毒源头的步骤重新运行几次即可，我们也可以把这个步骤写成一个，bat文件，并把这个bat文件执行多次即可这里就给大家发挥，我就不写了。

本文中标记为红色字体的部分是成功清除病毒的关键部分

题外话，我在中这个autorun病毒时，用了最新的kv移动版，根本就查不到这个病毒。由于单位很多网站被限制了，我升级还是让女朋友在单位升级好，然后用邮箱发给我的。至此可以看出kv杀毒真的很差劲。