免费杀毒软件排行榜

主页 > 杀毒资讯 > 正文

解析autorun.inf病毒及手工删除方法

软件2020-09-19 12:15 杀毒资讯

autorun 文档内的语句是:


[autorun]


OPEN=D:command.com


在注册表内搜索到了带有 D:command.com 值的项并删除,并在DOS下手工来删除AutoRun.inf:


attrib autorun.inf -s -h -r
del autorun.inf
attrib command.com -s -h -r
del command.com
dir /a


重启电脑后问题依旧存在,双击的方法打不开D盘(内有autorun.inf)


也不能使用Gpedit.msc阻止D盘自动运行


还有一个问题是 msconfig 也无法打开。而且发现只要一运行 msconfig, D盘内就又出现了autorun.inf


解决办法之手工删除:


一、 结束病毒进程


鼠标右键点击任务栏,选择任务管理器。点击菜单查看-选择列,在弹出的对话框中选择PID(进程标识符),并点击确定。


找到映象名称为LSASS.exe,并且用户名不是SYSTEM的一项,记住其PID号。


点击开始-》运行,输入CMD,点击确定打开命令行控制台。输入ntsd c q -p (PID),比如输入ntsd c q -p 1464。


二、 删除病毒文件


打开我的电脑,设置显示所有的隐藏文件、系统文件并显示文件扩展名。删除如下几个文件:


C:\Program Files\Common Files\INTEXPLORE.pif、
C:\Program Files\Internet Explorer\INTEXPLORE.com、
C:\WINDOWS\EXERT.exe、
C:\WINDOWS\IO.SYS.BAK、
C:\WINDOWS\LSASS.exe、
C:\WINDOWS\Debug\DebugProgram.exe、
C:\WINDOWS\system32\dxdiag.com、
C:\WINDOWS\system32\MSCONFIG.COM、
C:\WINDOWS\system32\regedit.com


如果硬盘有其他分区,则在其他分区上点击鼠标右键,选择打开。删除掉该分区根目录下的Autorun.inf和command.com文件。


三、删除注册表中的其他垃圾信息


这个病毒该写的注册表位置相当多,如果不进行修复将会有一些系统功能发生异常。


将Windows目录下的regedit.exe改名为regedit.com并运行,删除以下项目:
HKEY_CLASSES_ROOT\WindowFiles、
HKEY_CURRENT_USER\Software\VB and VBA Program Settings、
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main下面的 Check_Associations项、
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面的ToP项。
将HKEY_CLASSES_ROOT\.exe的默认值修改为exefile
将HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command的默认值修改为C:\Program Files\Internet Explorer\iexplore.exe %1
将 HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell \OpenHomePage\Command的默认值修改为C:\Program Files\Internet Explorer\IEXPLORE.EXE
将HKEY_CLASSES_ROOT\ftp\shell\open\command和 HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command的默认值修改为C:\Program Files\Internet Explorer\iexplore.exe %1
将 HKEY_CLASSES_ROOT\htmlfile\shell\open\command和HKEY_CLASSES_ROOT\HTTP \shell\open\command的默认值修改为C:\Program Files\Internet Explorer\iexplore.exe nohome
将HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet的默认值修改为IEXPLORE.EXE。
重新将Windows目录下的regedit扩展名改回exe,至此病毒清除成功,注册表修复完毕。

标签列表
热门文章
搜索