手工清除自动运行的病毒

简介:
近日机器中了病毒,症状为在磁盘根目录下生成autorun.inf和setup.exe两个文件,并且在磁盘的右键菜单中添加了一个Auto项并设置为默认操作,这样每次双击磁盘盘符的时候病毒都会自动运行。此病毒还修改了注册表,使得“显示所有文件”这个项不能修改,在文件管理器中无法显示隐藏文件。
 
解决方法:
首先,在任务管理器中杀死病毒进程。
然后,编写一个bat文件,内容如下:
 
  attrib -h -r -s \autorun.inf
del autorun.inf
attrib -h -r -s \setup.exe
del setup.exe

该批处理文件自动删除当前磁盘根目录下的病毒文件,在每个磁盘上运行一下即可清除病毒。
 
最后,编写一个reg文件,内容如下:
 
REGEDIT4
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Ad
vanced\Folder\Hidden] 
"Text"="隐藏文件" 
"Type"="group" 
"Bitmap"="C:\\WINDOWS\\SYSTEM\\SHDOC401.DLL,4" 
"HelpID"="update.hlp#51131"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Ad
vanced\Folder\Hidden\SHOWALL] 
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanc
ed" 
"Text"="显示所有文件" 
"Type"="radio" 
"CheckedValue"=dword:00000001 
"ValueName"="Hidden" 
"DefaultValue"=dword:00000000 
"HKeyRoot"=dword:80000001 
"HelpID"="update.hlp#51105"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Ad
vanced\Folder\Hidden\NOHIDDEN] 
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanc
ed" 
"Text"="不显示隐藏文件" 
"Type"="radio" 
"CheckedValue"=dword:00000002 
"ValueName"="Hidden" 
"DefaultValue"=dword:00000000 
"HKeyRoot"=dword:80000001 
"HelpID"="update.hlp#51104"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Ad
vanced\Folder\Hidden\NOHIDORSYS] 
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanc
ed" 
"Text"="不显示隐藏文件或系统文件" 
"Type"="radio" 
"CheckedValue"=dword:00000000 
"ValueName"="Hidden" 
"DefaultValue"=dword:00000000 
"HKeyRoot"=dword:80000001 
"HelpID"="update.hlp#51103"
 
  将以上文本导入到注册表,就可以修复病毒的破坏,到“文件夹选项”中修改成喜欢的配置即可。
 
这个病毒威力不是很大,未见其有什么破坏行为,主要通过u盘传播,较容易对付。
 
【盟】冰刃(325*) 提供方法:
删除双击无法打开的病毒方法:
1:运行regedit,进入注册表,查找pagefile.pif(有些机没有),将文件所在的shell全部删除。
2:下载TC654a,查找每一个盘下的aoturnu,注意C盘下的aoturun日期,别删错了。
注意:在做这些的时候千万别双击任何文件。



















本文转自starger51CTO博客,原文链接: http://blog.51cto.com/starger/19281,如需转载请自行联系原作者
相关文章
|
2月前
|
安全 JavaScript 前端开发
【恶意代码系列】二、清除准备工作
【恶意代码系列】二、清除准备工作
|
3月前
|
Windows
Acunetix——本地计算机上的Acunetix服务启动后停止,某些服务在未由其他服务或程序使用时将自动停止
Acunetix——本地计算机上的Acunetix服务启动后停止,某些服务在未由其他服务或程序使用时将自动停止
163 0
|
6月前
|
弹性计算 运维 Ubuntu
自动检测并处理系统更新
【4月更文挑战第30天】
125 0
|
安全 Shell
最强安全加固自动执行脚本2.0
最强安全加固自动执行脚本2.0
|
云安全 弹性计算 安全
Linux服务器中了病毒后的清理方法
Linux服务器中了病毒后的清理方法
Linux服务器中了病毒后的清理方法
|
监控 前端开发 fastjson
webshell内存马的命令执行分析
内存马,也就是无文件格式webshell,检查难度系数很大,运用分布式数据库(apache、mvc这种)去运行恶意程序。适合情景为一些web应用为jar包运行,无网站文件目录、想写文件格式找不着网站文件目录相对路径等。内存马的注入一般搭配反序列化安全漏洞开展运用,如spring反序列化安全漏洞、fastjson反序列化、weblogic反序列化这种;也是有先提交着地文件格式,随后浏览注入内存马的,这类实际上 没有什么必要性,暂时性忽视。
497 0
webshell内存马的命令执行分析
LXJ
tripwire安装、检测、恢复、更新脚本(参数版本)
包含了tripwire安装、检测、恢复、更新功能
LXJ
369 0
|
安全 Shell Windows