runauto.. 病毒斗争记

最新推荐文章于 2022-02-23 15:02:25 发布
最新推荐文章于 2022-02-23 15:02:25 发布
阅读量6.4k 收藏
点赞数
分类专栏: Windows系统 文章标签: file c 磁盘 脚本 cmd windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/olojiang/article/details/1560736
版权
杀了四个小时,当我手动杀的差不多时才发现...

555555~~~~
以下是最后找到的成果,文字部分为转贴
真实有效

1、运行regedit打开注册表。

2、在服务中找到Kerberos Key Distribution Centers 服务并停止它。查看进程确保进程列表中只有一个lsass.exe路径为c:/windows/system32。

3、在注册表中清除如下健值:[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/]中的cmd.exe、msconfig.exe、regedit.exe、regedt32.exe项。

[HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/]中的kkdc项

[HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001
/Services/SharedAccess/Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications /List]中的"C://WINDOWS//lsass.exe"="C://WINDOWS//lsass.exe:*:Enabled: lsass.exe"

查看[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/]中是否存在kkdc项,如存在删除kkdc项。

查看[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/SharedAccess/ Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications/List]中是 否有
"C://WINDOWS//lsass.exe"="C://WINDOWS//lsass.exe:*:Enabled:lsass.exe", 如有则删除"C://WINDOWS//lsass.exe"="C://WINDOWS//lsass.exe:*:Enabled: lsass.exe"。

4、我的电脑-工具-文件夹选项-查看 中“隐藏受保护的操作系统文件”前面的对勾去掉,并选中“显示所有文件和文件夹”确定。

5、在C:/windows目录中找到lsass.exe、regedit.exe.exe、cmd.exe.exe、setuprs1.pif以及有病 毒生成的文件这些文件有个特征是“没有图标”的后缀名为.exe的文件。(这些文件是由于在中毒后运行cmd.exe、regedit.exe、 regedit32.exe、maconfig.exe时生成的文件,文件名一般为r.exe、r0.exe等。)


6、开始-运行 输入cmd 进入命令提示符。(如果C盘根目录下有runauto..隐藏文件夹和autorun.inf两个存在)在C盘根目录下输入如下命令:

rmdir RUNAUT~1 /s /p
或者
rd /s/q runauto.../

del autorun.inf

如果别的磁盘也有runauto..隐藏文件夹和autorun.inf两个存在则在cmd 下进入相应盘符执行同样操作即可。
注:autorun.inf文件一般只存在于C盘和移动磁盘里,而runauto..隐藏文件夹则是每个磁盘下都会有。

7、确定删除完毕后重新启动机器即可。

在csdn混了一段时间了:发现自己的这篇转贴居然这么多人看。
算了,写个脚本回报社会吧。(代码写的简陋,仅适用于已经中了该病毒,并且是Xp系统,系统安装到C盘)
以下内容存为kill.bat运行之,就能搞定了。 (前两天写的那个有一点儿小问题,现在已经修正了)Enjoy~

@echo off
echo -----------------------------------------------------------------------------------
echo ----     RECYCLER and runauto..专杀脚本        ----
echo ----                                                    ----
echo ----     作者: olojiang  2007.04.28                              ----
echo -----------------------------------------------------------------------------------
echo 重剑无锋,大巧不工

net stop "kkdc"
echo 尝试关闭服务 kkdc

if exist kill.reg del kill.reg
echo Windows Registry Editor Version 5.00 >> kill.reg
echo [-HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/cmd.exe] >> kill.reg
echo [-HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/msconfig.exe] >> kill.reg
echo [-HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/regedit.exe] >> kill.reg
echo [-HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/regedt32.exe] >> kill.reg

echo [-HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/kkdc] >> kill.reg
echo [-HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/kkdc] >> kill.reg
echo [-HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/Services/kkdc] >> kill.reg
echo [-HKEY_LOCAL_MACHINE/SYSTEM/ControlSet003/Services/kkdc] >> kill.reg
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/SharedAccess/Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications /List] >> kill.reg
echo "C://WINDOWS//lsass.exe"=->> kill.reg
echo [HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/SharedAccess/Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications /List] >> kill.reg
echo "C://WINDOWS//lsass.exe"=->> kill.reg
echo [HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/Services/SharedAccess/Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications /List] >> kill.reg
echo "C://WINDOWS//lsass.exe"=->> kill.reg
echo [HKEY_LOCAL_MACHINE/SYSTEM/ControlSet003/Services/SharedAccess/Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications /List] >> kill.reg
echo "C://WINDOWS//lsass.exe"=->> kill.reg

copy c:/windows/regedit.exe c:/windows/regeditX.exe
c:/windows/regeditX.exe /s kill.reg
del kill.reg
del c:/windows/regeditX.exe
echo runauto.. 病毒的注册表清理完成

for %%i in (c d e f g h i j k l m n o p q r s t u v w x y z) do  rd /s/q %%i%:/runauto.../
echo runauto.. 文件删除完成

for %%i in (c d e f g h i j k l m n o p q r s t u v w x y z) do @if exist %%i%:/RECYCLER/ echo %%i%:/RECYCLER/ is being deleted & @if exist %%i%:/RECYCLER/ rd /s/q %%i%:/RECYCLER/
echo RECYCLER 文件夹删除完成

pause
olojiang
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 10
    评论
专栏目录
runauto...病毒的清除方法.rar
11-19
runauto...病毒清除的好用的方法,批处理文件,下载解压后,直接双击打开即可以清除最近最头痛的runauto...病毒啦!!
runauto 病毒
周海汉的开发专栏
04-23 5851
周海汉 /文我的系统一直保持版本最新的,反病毒软件norton security 2005也及时更新,但还是染上了runauto病毒。该病毒很难对付,据说通过U盘的自动执行感染。该病毒症状如下:双击打开系统盘报错,说找不到打开方式。用WIN+E打开,点左边的树形目录,将所有隐藏文件打开,会看到有隐藏的目录 runauto...,autorun.inf,autorun.inf.tmp等文
清除runauto病毒
lovenjoy的专栏
05-29 493
1、运行regedit打开注册表。如果运行不了的话,在windows目录找到regedit.exe 改名为regedit.com,怎么改名你应该知道的,双击后会出来注册表编缉器的,然后.2、在服务中找到Kerberos Key Distribution Centers 服务并停止它。查看进程确保进程列表中只有一个lsass.exe路径为c:/windows/system32。3、在注册表中清除如下
runauto..病毒的解决方案
06-18 1068
现象:l  计算机的盘符根目录中发现名为runauto..的一个隐藏文件夹,在安全模式下也无法删除,用AUTO专杀工具无法查找到。l  打开“运行”,敲入cmd、regedit、regedit32、msconfig均无法找到该程序,并提示“windows 找不到文件‘***’,请确定文件名是否正确后再试一次。”但system32中存在cmd.exe,regedit.exe,regedit32.ex
RunAuto专杀工具
07-31
RunAuto专杀工具 此病毒是灰鸽子的一种,主要通过U盘传播,一般的AUTO专杀工具无法查杀。 中毒后在每个盘符下生成runauto..的隐藏文件夹,安全模式下也无法删除。 病毒对系统进行映像劫持,分别劫持cmd,regedit,msconfig,service等程序。 同时服务中增加Kerberos Key Distribution Centers服务,并以进程保护。 病毒进程为C:\windows\lsass.exe,该进程无法手动结束。
删除runauto..文件夹解决方法
11-13
### 删除runauto..文件夹解决方法 在计算机操作过程中,我们常常会遇到一些难以删除的文件或文件夹,这些问题往往让很多用户感到头疼。本文将详细介绍如何解决“runauto..”这一特殊文件夹的删除问题,并提供两种...
runauto..删除工具
10-28
"runauto..删除工具" 这个标题明确指出这是一款专门用于清除“runauto病毒的程序。"runauto"病毒通常是指一类自动运行的恶意软件,它们利用Windows系统的自动运行功能(如autorun.inf文件)来在用户插入U盘或硬盘...
移动硬盘、U盘中的runauto..文件夹删除的方法!
12-22
### 移动硬盘、U盘中的runauto..文件夹删除的方法! 在日常使用移动存储设备的过程中,用户可能会遇到一种特殊类型的文件夹——`runauto..`。这种文件夹通常是隐藏的,并且不易于通过常规方法删除。本文将详细介绍...
runauto专杀工具.bat
04-07
一个批处理软件,专杀runauto..病毒。运行一遍即可。本人制作,无毒,上传只为积分。
删除 runauto.. 目录
IT_Service的专栏
06-16 536
进入DOS方式,运行 rd /s runauto.../其它类似 XXX.. 的目录都可以按这种方法删除
如何删除runauto..病毒
xiaoGang的专栏
09-20 955
现象: l 计算机的盘符根目录中发现名为runauto..的一个隐藏文件夹,在安全模式下也无法删除,用AUTO专杀工具无法查找到。 l 打开“运行”,敲入cmd、regedit、regedit32、msconfig均无法找到该程序,并提示“windows 找不到文件‘***’,请确定文件名是否正确后再试一次。”但system32中存在cmd.exe,regedit.exe,regedit32.ex
技巧心得: runauto..灰鸽子病毒处理过程
ann__1121的博客
06-13 158
runauto..灰鸽子病毒处理过程 一、首先确认你是否中招,调出“任务管理器”,如果发现有两个lsass.exe进程,则基 本可以确定你中招了。进程大的lsass是病毒不能结束,不要慌~~ 二、进入C:\WINDOWS会发现四个异样的文件,cmd.exe.exe 、lsass.exe 、regedit.exe.exe 、setuprs1.pif 你删不掉他们,但是你把ls...
遭遇办公室风波
霸王棍专栏
07-14 895
糊里糊涂的进入一家网络公司,技术部经理说话比较生硬,要求一天修改两个页面。 总经理把word文档给了我们,要求按照word文档说明的需求来做。可是技术部经理从网上下载了一个程序让我们改一改,可我发现无论怎么改也不可能达到总经理的要求,随即把自己的想法告诉了技术部经理,听技术部经理那个意思是即使达不到要求,他有一千个理由等待着告诉总经理。 我个人认为,总经理花了那么多精力花出了网站框架,告诉我们参考
K8s 很难么?带你从头到尾捋一遍,不信你学不会
民工哥的博客
02-23 9019
点击关注公众号,回复“1024”获取2TB学习资源!为什么要学习 Kubernetes?虽然 Docker 已经很强大了,但是在实际使用上还是有诸多不便,比如集群管理、资源调度、文件管理等...
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)
北豼不太皮的博客
02-21 3564
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)一、学习目标二、了解单片机STM32F401RET6三、C语言基础 一、学习目标 二、了解单片机STM32F401RET6 4、STM32F401RE特征 三、C语言基础 1.数据类型 常用2的次方: 2^7 = 128 2^8 = 256 2^15 = 32768 2^16= 65536 51单片机常见的数据类型: char: 占内存1字节 取值范围:-128~127 -2^7 ~ 2
Android开发(1) | Fragment 的应用——新闻应用
Jormungand_V的博客
02-21 7079
文章目录 news_item.xml: <TextView xmlns:android="http://schemas.android.com/apk/res/android" android:id="@+id/news_title" android:layout_width="match_parent" android:layout_height="wrap_content" android:lines="1" android:ellipsize="
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值