病毒autorun.vbs查杀方法
Q:最近机器有个怪现象,打开“我的电脑”以后,无论双击哪个盘的图标,系统都会重新打开一个窗口,同时杀毒软件报告:regedit.exe程序试图修改注册表XXX键值,已被拦截。
然后我打开硬盘各个分区,发现根目录下多出七个文件:autorun.bat autorun.vbs autorun.bin autorun.inf autorun.txt autorun.reg autorun.wsh,都是隐藏、系统、只读属性,打开任务管理器,只有一个wscript.exe在运行,机器速度也没有慢多少,不太像欢乐时光。
其中autorun.inf文件内容如下:
autorun风暴
[autorun]
open=
shell\open=打开(&O)
shell\open\Command=WScript.exe .\autorun.vbs
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=WScript.exe .\autorun.vbs
注册表启动项:
A:第一步,去注册表项目里把加载在注册表userinit后的autorun.exe给删了
然后停止wscript那个进程停止脚本调用
然后把各盘及system32里面的7个文件全部删掉
重新启动
这个是利用autorun.bat,autorun.vbs,autorun.reg进行扩展的木马
首先你第一次双击硬盘图标时会首次加载autorun.bat,然后会调用reg文件对注册表中的开机初始进程userinit后面增加这个autorun以保证其下次能够自启动,然后autorun.bat这个文件会开启windows中使用脚本的进程wscript以成功运行其autorun.vbs,进而实现一个循环链,单纯删除文件都会被恢复
AutoRun风暴病毒症状
1、双击,单击鼠标右键都打不开所有的硬盘,提示"找不到autorun.vbs文件"
2、硬盘的鼠标右键菜单多出 auto 和 搜索 两个选项
3、系统隐藏文件无法显示,手动更改无效
4、杀毒软件无法打开
5、QQ打开时提示出错
5、其他症状
注意:无论采用以下三种方案,均请在杀毒之前卸载/删除QQ等事先发现被病毒关联的程序,杀毒之后,删除病毒的注册表项(见方案三),用优化大师之类软件对注册表进行清理,然后重新安装QQ。否则杀毒可能失效!
"Autorun风暴"病毒病毒的手动处理方法
1.启动纯DOS,安全模式貌似也可以,但不推荐。
2.在各个磁盘的根目录上执行这两条命令:
attrib autorun.* -s -r -h
del autorun.*
(第一条的作用是去掉autorun系列文件的属性,第二条是删除文件)
3.在%systemroot%\system32目录下同样执行上面两条命令
(%systemroot%就是你的系统安装目录,一般默认为"Windows")
PS:到了这里,病毒的文件已经被我们删除干净了。
4.重新启动电脑,进入Windows,删除autorun.reg中对注册表的更改。那个Userinit只需要把userinit.exe后面的autorun.bat删除即可,键不删。
注册表键值:(开始——>运行 输入: regedit )
[ H K E Y _ L O C A L _ M A C H I N E \ S O F T W A R E \ M i c r o s o f t \ W i n d o w s N T \ C u r r e n t V e r s i o n \ W i n l o g o n ]
" U s e r i n i t " = " u s e r i n i t . e x e , a u t o r u n . b a t "
5、手动清除到此结束!
