同学机器中毒了,症状如下:
每个盘根目录下增加autorun.inf 和一个目录runauto..
很多命令msconfig, cmd, regedit等不能运行.
我看了下,首先根据autorun.inf找到一个pif
然后根据文件日期又找到一堆exe,这些都好办,删掉就行了. 我记得有
c:\windows\lsass.exe
c:\windows\setuprs1.pif
c:\windows\cmd.exe.exe
可能不全.
不过那个runauto..目录却删不掉, 但是我发现在纯dos下可以进入(但是由于属性等问题,不好删)...
参考了http://hi.baidu.com/creative_zone/blog/item/5555efb494408d728bd4b2bb.html
发现应该用rd "runauto.../" /s /q, 然后成功删除,
这个非常奇妙,我自己试了试md "tmp.../", 然后有类似现象,是Windows的bug么?
另外需要停掉一个服务,叫做Kerberos Key Distribution Centers, 最好也从注册表里删掉
最后发现那些命令还是不能用, 然后搜了下注册表, 发现在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
下,有很多项,其中 cmd.exe, msconfig.exe 等项中均有一个键叫叫做"Debugger",值为病毒pif, 那没什么好说的,删! 于是都正常了.
最后又搜了一遍,删了几个可疑项和键值, 至此就算完成了.
每个盘根目录下增加autorun.inf 和一个目录runauto..
很多命令msconfig, cmd, regedit等不能运行.
我看了下,首先根据autorun.inf找到一个pif
然后根据文件日期又找到一堆exe,这些都好办,删掉就行了. 我记得有
c:\windows\lsass.exe
c:\windows\setuprs1.pif
c:\windows\cmd.exe.exe
可能不全.
不过那个runauto..目录却删不掉, 但是我发现在纯dos下可以进入(但是由于属性等问题,不好删)...
参考了http://hi.baidu.com/creative_zone/blog/item/5555efb494408d728bd4b2bb.html
发现应该用rd "runauto.../" /s /q, 然后成功删除,
这个非常奇妙,我自己试了试md "tmp.../", 然后有类似现象,是Windows的bug么?
另外需要停掉一个服务,叫做Kerberos Key Distribution Centers, 最好也从注册表里删掉
最后发现那些命令还是不能用, 然后搜了下注册表, 发现在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
下,有很多项,其中 cmd.exe, msconfig.exe 等项中均有一个键叫叫做"Debugger",值为病毒pif, 那没什么好说的,删! 于是都正常了.
最后又搜了一遍,删了几个可疑项和键值, 至此就算完成了.
Comments