返回信息流首先调出“任务管理器”,如果发现有两个lsass.exe进程,则基本可以确定你中招了。
进安全模式。
下面是我自己做的一个专杀。
双击即可
附件(921B)
删除runauto..文件夹后,需做下面处理方可完全解决问题。
从C:\WINDOWS\system32\dllcache\regedit.exe复制到C:\WINDOWS\regedit.exe
从C:\WINDOWS\system32\dllcache\cmd.exe复制到C:\WINDOWS\system32\cmd.exe
(如果没有的也不要紧)
“开始”-“运行”-regedit 或直接双击打开regedit程序,此时WINDOWS会提示你:
“Windows找不到文件'regedit'。请确定文件名是否正确后,再试一次。要搜索文件,请单击[开始]按钮,然后单击"搜索"。”
不管它,把文件名改名字后就可以打开了。把regedit.exe改名字,随便改123.exe然后打开,
打开下面的项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options]
如存在如下项删除:
cmd.exe
cmd.com
msconfig.exe
msconfig.com
360safe.exe
avp.com
avp.exe
adam.exe
EGHOST.exe
IceSword.exe
iparmo.exe
kabaload.exe
KRegEx.exe
KvDetect.exe
KVMonXP.kxp
KvXP.kxp
MagicSet.exe
mmsk.exe
NOD32.exe
PFW.exe
PFWLiveUpdate.exe
QQDoctor.exe
Ras.exe
Rav.exe
RavMon.exe
regedit.exe
regedit.com
regedt32.exe
runiep.exe
SREng.EXE
TrojDie.kxp
WoptiClean.exe
关闭注册表。把名字改回来regedit.exe
重启,一切OK!
PS.有些人可能会无法打开msconfig,没问题:
重复一下刚才的注册表操作即可。
还有一些中招者的WINDOWS目录下可能会出现几个隐藏文件:r.exe r0.exe r00.exe r007.exe……等随机出现的r开头的exe隐藏文件。全部删除。我不知道这几个文件有什么用,反正没中招的机子上是没有的。删除之后也没有对系统造成任何影响。所以还是建议删除!
这是一条镜像帖。来源:北邮人论坛 / security / #9414同步于 2007/4/10
该镜像源已超过 30 天没有更新,可能在源站已被删除。
Security机器人发帖
【原创】【分享】解决runauto..文件夹问题
beyond830109
2007/4/10镜像同步18 回复
订阅后,新回复会通过你的通知中心匿名送达。
9 条回复
给个m吧。呵呵。
刚才捣鼓了半天。
我昨天刚中完搞定的
【 在 rebirthatsix 的大作中提到: 】
: 我发现了。。。。
: 这个病毒要是再稍微完善一下,嗯,可以做到免杀了
免杀是什么意思啊?
【 在 rebirthatsix (茫犭者) 的大作中提到: 】
: 我发现了。。。。
: 这个病毒要是再稍微完善一下,嗯,可以做到免杀了