整理这个资料的时候,忽然发现,我抓到的autorun的最早一次立文记录时间是2006-05-10
不过貌似当时没有这么泛滥,
从07年期好像AUTORUN忽然被泛滥利用了起来
夸张点说,简直是拉条狗都回利用autorun来做个病毒…
所以再次整理本文,本文中大部分内容来自2007-04-29 的上一次整理的内容
总是看到有人问关于Autorun.inf或Autorun.ini文件+***.exe作恶的消息,
网上有各种各样的杀法,
但是都是针对某一个具体exe的杀法,所以整理了一下,写了这个处理方案,
通常的Autorun参照这个方案,肯定可以处理掉
如果有某些个案样本还挂钩了系统进程或自启动加载项等,那可能会相对比较麻烦,但毕竟相对少见,本文暂不作讨论。
在以下整个过程中不得双击分区盘,需要打开硬盘时用 资源管理器—盘符—鼠标右键—打开 这种方式来操作
这点很重要,通过这个来避免病毒的反复激活
如果您打算重新格式化安装系统,
安装系统后,
打开任意一个文件夹,执行如下操作
工具-文件加选项-察看-取消“隐藏受保护的系统文件”,选中“显示所有文件和文件夹”
然后使用资源管理器打开D、E、F等盘符
就可以在对应盘符下看到 Autorun.inf或Autorun.ini文件
使用记事本打开该文件,可以从open=***.exe看到指向的病毒文件,
删除Autorun这个文件和指向的病毒文件
重新启动计算机,至此,计算机才算安全,否则,病毒还有可能会被再次激活。
如果您不打算重新作系统,请参看以下过程:
首先,使用serng.exe这个工具,扫描系统,保存日志
然后在日志文件的末尾寻找类似如下的部分,其中的这个open=sxs.exe就是病毒文件,
当然,您那里可能会看见这里等于的是其他文件,以下以这个sxs.exe为例说明处理情况。
==================================
Autorun.inf
[D:\]
[AutoRun]
open=sxs.exe
shellexecute=sxs.exe
shell\Auto\command=sxs.exe
==================================
一、关闭病毒进程
Ctrl + Alt + Del 任务管理器,在进程中查找 sxs ,有的话就将它结束掉
二、显示出被隐藏的系统文件
运行—regedit
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL
将CheckedValue键值修改为1
这里要注意:
病毒有可能会把本来有效的DWORD值CheckedValue删除掉,
新建了一个无效的字符串值CheckedValue,并且把键值改为 0,我们将这个改为1是毫无作用的!
有部分病毒变种会直接把这个CheckedValue给删掉,只需和下面一样,自己再重新建一个就可以了
方法:
删除此字符串的CheckedValue键值,
单击右键 新建—Dword值—命名为CheckedValue,然后修改它的键值为1,
这样就可以选择“显示所有隐藏文件”和“显示系统文件”。
在文件夹—工具—文件夹选项中将系统文件和隐藏文件设置为显示。
三、删除病毒
在分区盘上单击鼠标右键—打开,看到每个盘跟目录下有 autorun.inf 和 sxs.exe 两个文件,将其删除。
如果您不能找到这两个文件,也可以直接在毒霸-金山反间谍-文件粉碎器中填写这两个文件的路径,然后粉碎掉。
重启计算机,分区盘双击可以打开了。
——————————————————
附:
如果病毒还同时采用了在注册表中加载自己,或者通过驱动等方式来进行进程坚守等其他隐藏的方案来加载自身,还需要通过系统日志来找到C:\WINDOWS…等等文件夹下边的这个隐藏的病毒文件或病毒服务、驱动文件,一并删除,并删除注册表中的启动项目;
此操作本文就不作讨论了,如有需要可参见后期关于怎么搞定驱动加载方式的病毒的文章即可。
哎~这个年月阿,随便一个垃圾都能写个病毒出来折腾大家,
大家麻烦,我们也累,没办法…
衷心希望大家永远都不会有再用到这篇文章来处理问题的时候。
也同时跟某些以做病毒为乐的人说:
你图什么呢?为名?遗臭万年很好么?为钱?昧良心的钱你拿着心安么?
再说,
你要真是技术性的病毒,你也算是个祸害了,
就这么个没水平的东西折腾普通人,有意思么?
