症状: 不能打开msconfig、regedit等名字的程序,提示找不到程序,但是改名可以打开。 不能打开大部分流行的杀毒软件、杀毒工具。 不能导入注册表、不能使用批处理。 该病毒不会使得隐藏文件不可见。 其他可能症状: 锐捷认证后不能获得IP,code 6系统错误,不能连接网络。 很奇怪,4个分区,原来都做了免疫,E盘没问题,其他3个盘C/D/F只是把以前的免 疫文件夹Autorun.inf里的“病毒免疫目录.”删除,不过Autorun.inf文件夹还在。 多了一个目录和一个文件:根目录不用Autorun.inf配置文件了,用autorun.inf.tmp, 编辑就可以看到内容,不知道是因为免疫的原因使得病毒文件变成这样的还是病毒原 来就是这样,文件夹是一个“RunAuto..”的目录,进不去看的,病毒文件autorun.pif 就放里面。 顺便说,以前用DelAutorun1.0.7.2批处理杀毒的时候出现“回收站损坏”的问题, 放心,这个不会对你的系统造成损害的。 批处理杀毒已经成为历史,请大家使用蓝色星空Viurs病毒版置底的最新DelAutorun杀 毒工具,也欢迎热心的同学加入我们,完善该工具,为大家服务。 下面附病毒分析及解决方法: ================病毒分析================ 添加服务: kkdc=C:\WINDOWS\lsass.exe system用户进程: lsass.exe(和系统的一样哦,WINDOWS\lsass.exe ,占用7m内存,系统的才1m多,手动停止 服务后即可,不用结束进程) 可能有的进程: cmd.exe.exe 释放到%windir%即%SystemRoot%目录的病毒: WINDOWS\cmd.exe.exe (验证md5后,和系统的一致,病毒只是改名改路径,不过还是 建议删除,因为有C:\WINDOWS\cmd.exe.exe或者病毒修改注册 表禁止软件所以不能在开始菜单里运行cmd以及批处理等。) WINDOWS\lsass.exe WINDOWS\regedit.exe.exe (验证md5后,和系统的一致,病毒只是改名,建议删除) WINDOWS\setuprs1.PIF 分区根目录及文件: 目录runauto...\ (最后的“.\”当然不会显示了,写这个符号表示这个目录进不了) 文件runauto..\autorun.pif (其实就是lsass.exe,大小一样,名字不同而已。) 文件autorun.inf.tmp (下面附它里面的内容) [AutoRun] open=RUNAUT~1\autorun.pif shell\1=打开(&O) shell\1\Command=RUNAUT~1\autorun.pif shell\2\=浏览(&B) shell\2\Command=RUNAUT~1\autorun.pif shellexecute=RUNAUT~1\autorun.pif =================手动解决方法:====================== 推荐用“开始-运行-command”操作。 先显示所有隐藏文件、系统文件。(不会?控制面板-文件夹选项-查看-自己慢慢看) 先删除C:\WINDOWS\cmd.exe.exe (如果没有就跳过这步) 右健点击install.inf选择安装修复文件关联。 (install.inf下载http://lsxk.org/bbscon.php?bid=67&id=66423≈=595 特别注意!install.inf只用于XP系统,而且系统不安装在C盘的不要用!) 从C:\WINDOWS\system32\dllcache\regedit.exe复制到C:\WINDOWS\regedit.exe 从C:\WINDOWS\system32\dllcache\cmd.exe复制到C:\WINDOWS\system32\cmd.exe 改名cmd为随机数字的文件名并运行(或者试试开始-运行-command) 输入下面3条命令: net stop kkdc sc stop kkdc (这条只是监测是否已经删除服务) sc delete kkdc 剩下就删除文件即可: DEL /F /Q /A %SystemRoot%\cmd.exe.exe DEL /F /Q /A %SystemRoot%\lsass.exe DEL /F /Q /A %SystemRoot%\regedit.exe.exe DEL /F /Q /A %SystemRoot%\setuprs1.PIF “runauto..”这个文件夹不能直接删除,要用下面命令(X代表盘符,比如C、D啊) rd /s /q X:\runauto...\ 或者 rd /s /q runaut~1 清理注册表: 开始-运行-regedit等程序或者即使你直接双击打开regedit程序,也会出现提示对话框: Windows找不到文件'regedit'。请确定文件名是否正确后,再试一次。要搜索文件, 请单击[开始]按钮,然后单击"搜索"。 如果你把文件名改名字后就可以打开了。杀毒之后,把regedit.exe改名字,然后打开, 打开下面的项: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Image File Execution Options] 如存在如下项删除: cmd.exe cmd.com msconfig.exe msconfig.com 360safe.exe avp.com avp.exe adam.exe EGHOST.exe IceSword.exe iparmo.exe kabaload.exe KRegEx.exe KvDetect.exe KVMonXP.kxp KvXP.kxp MagicSet.exe mmsk.exe NOD32.exe PFW.exe PFWLiveUpdate.exe QQDoctor.exe Ras.exe Rav.exe RavMon.exe regedit.exe regedit.com regedt32.exe runiep.exe SREng.EXE TrojDie.kxp WoptiClean.exe 顺便说另一个限制软件运行的地方(XP系统): 开始-运行-输入“gpedit.msc”打开组策略-本地计算机策略-计算机配置- Windows设置-安全设置-软件限制策略-其它规则,看到有限制的删除即可。 重启后再检查清理一次,然后就可以上网了。 建议步骤: 从C:\WINDOWS\system32\dllcache\msconfig.exe复制到 C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe覆盖原有文件。 其他说明: 删除NTFS分区的Autorun.inf免疫目录方法: echo Y|cacls X:\Autorun.inf /T /C /P everyone:F & RD /S /Q X:\Autorun.inf 清理注册表也可以用下面的命令: REG DELETE "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Executi on Options\msconfig.exe" /f REG DELETE "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Executi on Options\regedit.exe" /f REG DELETE "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Executi on Options\regedt32.exe" /f
标签:exe
