• 欢迎访问金刀客博客!
  • 2019,春节快乐!

Autorun.inf病毒完全解决方案

技术文章 admin 6384次浏览 已收录 0个评论

当今,利用U盘来传播病毒木马的感染方式似乎得到越来越多的病毒作者的青睐,呈现越演越烈的趋势,相信大家对于
Copy.exe,rose.exe, host.exe,SXS.exe和autorun.inf等等文件已经是相当熟悉了,其典型代表熊猫烧香更是风靡中国大陆,成为众多病毒木马中的集大成者,借MOPERY的话说是熊猫烧香”并不拥有最厉害的技术,却拥有最成熟的传播手段。现在大多数杀软都已能查杀,但是清除掉这些病毒体后,许多杀软并没有修正被病毒所修改的注册表项,有些是我们在清除病毒过程中就需要解决的,比如autorun.inf一般是隐藏的,而病毒修改注册表让“文件夹选项”消失,或者无法“显示全部的文件和文件夹”等,这就需要我们自己手动来解决。
1,首先介绍一个上次在实验室遇到的一个病毒(rose.exe)的清除
新建一个文本文档,并将下面的代码复制其中。复制完毕后点击左上角的“文件-另存为”在下面的文件名那里将该文档的名称“新建 文本文档.txt”改为“killer.bat”,保存完毕后双击运行即可。
=====复制下面的代码,不要复制我======
@ echo off
@echo 本程式专杀copy.exe、host.exe、rose.exe和RavMonE.exe病毒,
@ECHO.
@echo 病毒症状:双击盘符不能正常打开,在盘符上单击右键,出现的菜单第一项为“自动播放”。
@ECHO.
@echo 本程式能够查杀所有盘符内的病毒,包括软驱。
@ECHO.
@Pause
@ECHO.
@ECHO.
@ECHO.
@echo ————-正在停止病毒进程…————-
@taskkill /im temp1.exe /f /t
@taskkill /im temp2.exe /t /f
@echo ————-停止病毒进程成功!————-
@ECHO.
@echo ————-正在删除关键性病毒文件…————-
@ del c:\windows\xcopy.exe /a /f
@ del c:\windows\svchost.exe /a /f
@ del c:\windows\system32\temp1.exe /a /f
@ del c:\windows\system32\temp2.exe /a /f
@ del d:\windows\xcopy.exe /a /f
@ del d:\windows\svchost.exe /a /f
@ del d:\windows\system32\temp1.exe /a /f
@ del d:\windows\system32\temp2.exe /a /f
@ del e:\windows\xcopy.exe /a /f
@ del e:\windows\svchost.exe /a /f
@ del e:\windows\system32\temp1.exe /a /f
@ del e:\windows\system32\temp2.exe /a /f
@ del f:\windows\xcopy.exe /a /f
@ del f:\windows\svchost.exe /a /f
@ del f:\windows\system32\temp1.exe /a /f
@ del f:\windows\system32\temp2.exe /a /f
@ del g:\windows\xcopy.exe /a /f
@ del g:\windows\svchost.exe /a /f
@ del g:\windows\system32\temp1.exe /a /f
@ del g:\windows\system32\temp2.exe /a /f
@echo ————-关键性病毒文件删除成功!————-
@echo.
@echo ————-正在删除病毒文件…————-
@ del a:\autorun.inf /a /f
@ del a:\copy.exe /a /f
@ del a:\host.exe /a /f
@ del a:\rose.exe /a /f
@ del b:\autorun.inf /a /f
@ del b:\copy.exe /a /f
@ del b:\host.exe /a /f
@ del b:\rose.exe /a /f
@ del c:\autorun.inf /a /f
@ del c:\copy.exe /a /f
@ del c:\host.exe /a /f
@ del c:\rose.exe /a /f
@ del d:\autorun.inf /a /f
@ del d:\copy.exe /a /f
@ del d:\host.exe /a /f
@ del d:\rose.exe /a /f
@ del e:\autorun.inf /a /f
@ del e:\copy.exe /a /f
@ del e:\host.exe /a /f
@ del e:\rose.exe /a /f
@ del f:\autorun.inf /a /f
@ del f:\copy.exe /a /f
@ del f:\host.exe /a /f
@ del f:\rose.exe /a /f
@ del g:\autorun.inf /a /f
@ del g:\copy.exe /a /f
@ del g:\host.exe /a /f
@ del g:\rose.exe /a /f
@ del h:\autorun.inf /a /f
@ del h:\copy.exe /a /f
@ del h:\host.exe /a /f
@ del h:\rose.exe /a /f
@ del i:\autorun.inf /a /f
@ del i:\copy.exe /a /f
@ del i:\host.exe /a /f
@ del i:\rose.exe /a /f
@ del j:\autorun.inf /a /f
@ del j:\copy.exe /a /f
@ del j:\host.exe /a /f
@ del j:\rose.exe /a /f
@ del k:\autorun.inf /a /f
@ del k:\copy.exe /a /f
@ del k:\host.exe /a /f
@ del k:\rose.exe /a /f
@ del l:\autorun.inf /a /f
@ del l:\copy.exe /a /f
@ del l:\host.exe /a /f
@ del l:\rose.exe /a /f
@ del m:\autorun.inf /a /f
@ del m:\copy.exe /a /f
@ del m:\host.exe /a /f
@ del m:\rose.exe /a /f
@ del n:\autorun.inf /a /f
@ del n:\copy.exe /a /f
@ del n:\host.exe /a /f
@ del n:\rose.exe /a /f
@ del \autorun.inf /a /f
@ del \copy.exe /a /f
@ del \host.exe /a /f
@ del \rose.exe /a /f
@ del p:\autorun.inf /a /f
@ del p:\copy.exe /a /f
@ del p:\host.exe /a /f
@ del p:\rose.exe /a /f
@ del q:\autorun.inf /a /f
@ del q:\copy.exe /a /f
@ del q:\host.exe /a /f
@ del q:\rose.exe /a /f
@ del r:\autorun.inf /a /f
@ del r:\copy.exe /a /f
@ del r:\host.exe /a /f
@ del r:\rose.exe /a /f
@ del s:\autorun.inf /a /f
@ del s:\copy.exe /a /f
@ del s:\host.exe /a /f
@ del s:\rose.exe /a /f
@ del t:\autorun.inf /a /f
@ del t:\copy.exe /a /f
@ del t:\host.exe /a /f
@ del t:\rose.exe /a /f
@ del u:\autorun.inf /a /f
@ del u:\copy.exe /a /f
@ del u:\host.exe /a /f
@ del u:\rose.exe /a /f
@ del v:\autorun.inf /a /f
@ del v:\copy.exe /a /f
@ del v:\host.exe /a /f
@ del v:\rose.exe /a /f
@ del w:\autorun.inf /a /f
@ del w:\copy.exe /a /f
@ del w:\host.exe /a /f
@ del w:\rose.exe /a /f
@ del x:\autorun.inf /a /f
@ del x:\copy.exe /a /f
@ del x:\host.exe /a /f
@ del x:\rose.exe /a /f
@ del y:\autorun.inf /a /f
@ del y:\copy.exe /a /f
@ del y:\host.exe /a /f
@ del y:\rose.exe /a /f
@ del z:\autorun.inf /a /f
@ del z:\copy.exe /a /f
@ del z:\host.exe /a /f
@ del z:\rose.exe /a /f
@echo ————-病毒文件删除成功!————-
@ECHO.
@echo ————-正在修复注册表…————-
@regedit /s wf.reg
@echo ————-注册表修复成功!————-
@ECHO.
@echo =============病毒清除成功,感谢你使用本杀毒程式=============
@ECHO.
SET /p c=重新启动计算机后才会生效,是否重新启动?[y,n]
if “%c%”==”y” shutdown /r /t 0
if “%c%”==”Y” shutdown /r /t 0
绿色软件联盟RavMonE killer(AUTO病毒专杀)下载
2,工具菜单”文件夹选项”消失的解决办法
用杀毒软件删除一些病毒后,杀软可能没有修正被病毒的修改项,比如ROSE.EXE,就会修改注册表隐藏文件夹选项从而无法选择”显示所有文件和文件夹”.其解决办法为:
1,通过组策略来修改:在”运行”中输入gpedit.msc,确定打开“组策略”,依次展开‘用户设置—模板管理—-windows组件—windows资源管理器’,双击右侧的‘从工具菜单中删除文件夹选项’菜单,在弹出的对话框中选择‘已禁用’就可以恢复.
2,另外就是通过直接编辑注册表来完成:运行-输入REGEDIT-进入注册表编辑器.注册表HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
右面窗口中有没有NoFolderOptions这个键,如果有把值改为0或者删除该键值.
可以自己手动找到该键值修改,也可以这样:打开“记事本”复制如下内容
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
“NoFolderOptions”=dword:00000000
另存为扩展名为“.reg”的文件,双击运行导入注册表即可.
我以准备好REG文件,解压缩双击导入就OK.注意:需要重启系统.
找回文件夹选项reg文件下载
3,不能”显示所有文件和文件夹”的解决办法
在我们查杀病毒木马的时候我们经常有这样的操作,打开我的电脑,工具,文件夹选项,查看:“隐藏保护的系统文件”勾去掉,再选中“显示所有文件和文件夹”。 这样来查看系统隐藏文件.但是有些病毒就是不让你”显示所有文件和文件夹”,你修改后马上又被病毒修改成”不显示隐藏的文件和文件夹”.怎么办呢?
新建一个文本文档,把下面代码输入:
[Version]
Signature=”$Chicago$”
[DefaultInstall]
addreg=add
delReg=del
[del]
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKCU,Software\Policies\Microsoft\Windows
HKLM,SOFTWARE\Policies\Microsoft\Windows\CurrentVersion
[add]
HKCU,Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, Hidden, 0x00010001, 1
HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, CheckedValue, 0x00010001, 1
然后另存为INF文件.例如show.inf,然后单击show.inf,右键,选择安装,就OK了.注意:可能需要重启系统.
显示所有文件和文件夹inf文件下载
4,注册表被锁定的解决办法
可以采用组策略和注册表编辑两种方法来解决该问题:
一,用组策略解决该问题
“开始→运行”,输入“Gpedit.msc”后回车,打开“组策略”。然后依次展开“用户配置→管理模板→系统”,双击右侧窗口中的“阻止访问注册表编辑工具”,在弹出的窗口中选择“已禁用”,“确定”后再退出“组策略”,
二、用脚本解决该问题
让我们按以下步骤来解除锁定:
1,新建一个文本文档,在窗口中输入以下内容:
Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
“DisableRegistryTools”=dword:00000000
2、从“文件”菜单上选择“另保存”,以扩展名为“.reg”的文件保存,双击运行该文件,系统询问“是否确认要将 C:\reg.reg 中的信息添加进注册表?”的对话框,点按 “是”。即成功导入.
附件为解除注册表锁定RAR文件,解压缩导入就OK。注意:可能需要重启系统.
解除注册表锁定文件下载
5,双击本地磁盘在新窗口打开的解决方法
把copy.exe和host.exe是2个老牌移动硬盘病毒Worm.Small.z和Dropper.Tiny.g删除掉后,可能回出现双击本地磁盘打开新窗口的情况。可按以下步骤解决:
1. 启动注册表编辑器:开始菜单-运行-REGEDIT
2. 删除掉HKEY_CLASSES_ROOT\Drive\shell 下OPEN项。如果HKEY_CLASSES_ROOT\Directory\shell 下也有OPEN项同样删除。
3. 退出“注册表编辑器”。
问题解决!注意:需要重启系统.
6,禁止进入安全模式解决办法
把HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot的“Minimal”以 及“Network”项分别改为改名为“MinimalEST”及“NetworkEST”就可以禁止进入安全模式了。
解决办法是把值改回来哦。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network


金刀客博客 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权 , 转载请注明Autorun.inf病毒完全解决方案
喜欢 (2)
发表我的评论
取消评论

表情 贴图 加粗 删除线 居中 斜体 签到