偶看新闻战舰帝国技能升级表:关于autorun.ini木马病毒的处理
来源:百度文库 编辑:偶看新闻 时间:2024/04/27 00:04:30
关于autorun.ini木马病毒的处理
2007-12-25 22:11:49| 分类: 默认分类 | 标签: |字号大中小 订阅
最近协助处理两起如题相关木马的案例,记录如下以备用:
症状描述: 双击无法打开分区,右键打开分区,并显示隐藏文件,在各分区根目录下存在打开硬盘各个分区,发现根目录下多出七个文件:autorun.bat autorun.vbs autorun.bin autorun.inf autorun.txt autorun.reg autorun.wsh,sxs.exe,都是隐藏、系统、只读属性.
网上查到的病毒运行机制: “利用autorun.bat,autorun.vbs,autorun.reg进行扩展的木马
首先你第一次双击硬盘图标时会首次加载autorun.bat,然后会调用reg文件对注册表中的开机初始进程userinit后面增加这个autorun以保证其下次能够自启动,然后autorun.bat这个文件会开启windows中使用脚本的进程wscript以成功运行其autorun.vbs,进而实现一个循环链,单纯删除文件都会被恢复”
解决方案: 打开记事本,复制如下命令:
attrib -h -r -s c:\sxs.exe
del c:\sxs.exe
attrib -h -s -r c:\autorun.inf
del c:\autorun.inf
attrib -h -r -s d:\sxs.exe
del d:\sxs.exe
attrib -h -s -r d:\autorun.inf
del d:\autorun.inf
attrib -h -r -s e:\sxs.exe
del e:\sxs.exe
attrib -h -s -r e:\autorun.inf
del e:\autorun.inf
attrib -h -r -s f:\sxs.exe
del f:\sxs.exe
attrib -h -s -r f:\autorun.inf
del f:\autorun.inf
attrib -h -r -s g:\sxs.exe
del g:\sxs.exe
attrib -h -s -r g:\autorun.inf
del g:\autorun.inf
attrib -h -r -s h:\sxs.exe
del h:\sxs.exe
attrib -h -s -r h:\autorun.inf
del h:\autorun.inf
另存为所有文件,后缀名为 .bat
双击运行,至此应该可以清除病毒主体.但可能会出现如下状况:双击分区无法打开,出现“Windows脚本宿主 找不到autorun.vbs”的错误提示.
解决方案:
1.运行:regedit,找到:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的userinit,其正确键值为"C:\WINDOWS\system32\userinit.exe,"(有逗号)或userinit.exe,
2.打开记事本,复制如下命令:
@echo on
taskkill /im explorer.exe /f
taskkill /im wscript.exe
start reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXplorer\Advanced /v ShowSuperHidden /t REG_DWORD /d 1 /f
start reg import kill.reg
del c:\autorun.* /f /q /as
del %SYSTEMROOT%\system32\autorun.* /f /q /as
del d:\autorun.* /f /q /as
del e:\autorun.* /f /q /as
del f:\autorun.* /f /q /as
del g:\autorun.* /f /q /as
del h:\autorun.* /f /q /as
del i:\autorun.* /f /q /as
del j:\autorun.* /f /q /as
del k:\autorun.* /f /q /as
del l:\autorun.* /f /q /as
start explorer.exe
保存为所有文件,后缀为 .bat