關autorun.inf病毒的警告和解決方法(轉)
我的D盤最近多了一個叫 autorun.inf 的文件,致使用雙擊的方法打不開D盤。
autorun 文檔內的語句是:
[autorun]
OPEN=D:command.com
我在註冊表內搜索到了帶有 D:command.com 值的項並刪除,並在DOS下手工來刪除AutoRun.inf:
attrib autorun.inf -s -h -r
del autorun.inf
attrib command.com -s -h -r
del command.com
dir /a
重啓電腦後問題依舊存在,雙擊的方法打不開D盤(內有autorun.inf)
也不能使用Gpedit.msc阻止D盤自動運行
還有一個問題是 msconfig 也無法打開。而且發現只要一運行 msconfig, D盤內就又出現了autorun.inf
解決辦法
手工刪除:
一、 結束病毒進程
鼠標右鍵點擊“任務欄”,選擇“任務管理器”。點擊菜單“查看”->“選擇列”,在彈出的對話框中選擇“PID(進程標識符)”,並點擊“確定”。
找到映象名稱爲“LSASS.exe”,並且用戶名不是“SYSTEM”的一項,記住其PID號。
點擊“開始”-》“運行”,輸入“CMD”,點擊“確定”打開命令行控制檯。輸入“ntsd –c q -p (PID)”,比如我的計算機上就輸入“ntsd –c q -p 1464”。
二、 刪除病毒文件
打開“我的電腦”,設置顯示所有的隱藏文件、系統文件並顯示文件擴展名。刪除如下幾個文件:
C:\Program Files\Common Files\INTEXPLORE.pif、
C:\Program Files\Internet Explorer\INTEXPLORE.com、
C:\WINDOWS\EXERT.exe、
C:\WINDOWS\IO.SYS.BAK、
C:\WINDOWS\LSASS.exe、
C:\WINDOWS\Debug\DebugProgram.exe、
C:\WINDOWS\system32\dxdiag.com、
C:\WINDOWS\system32\MSCONFIG.COM、
C:\WINDOWS\system32\regedit.com
如果硬盤有其他分區,則在其他分區上點擊鼠標右鍵,選擇“打開”。刪除掉該分區根目錄下的“Autorun.inf”和“command.com”文件。
三、刪除註冊表中的其他垃圾信息
這個病毒該寫的註冊表位置相當多,如果不進行修復將會有一些系統功能發生異常。
將Windows目錄下的“regedit.exe”改名爲“regedit.com”並運行,刪除以下項目:
HKEY_CLASSES_ROOT\WindowFiles、
HKEY_CURRENT_USER\Software\VB and VBA Program Settings、
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main下面的 Check_Associations項、
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面的ToP項。
將HKEY_CLASSES_ROOT\.exe的默認值修改爲“exefile”
將HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command的默認值修改爲“"C:\Program Files\Internet Explorer\iexplore.exe" %1”
將HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command的默認值修改爲“C:\Program Files\Internet Explorer\IEXPLORE.EXE”
將HKEY_CLASSES_ROOT\ftp\shell\open\command和HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command的默認值修改爲“"C:\Program Files\Internet Explorer\iexplore.exe" %1”
將HKEY_CLASSES_ROOT\htmlfile\shell\open\command和HKEY_CLASSES_ROOT\HTTP\shell\open\command的默認值修改爲“"C:\Program Files\Internet Explorer\iexplore.exe" –nohome”
將HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet的默認值修改爲“IEXPLORE.EXE”。
重新將Windows目錄下的regedit擴展名改回exe,至此病毒清除成功,註冊表修復完畢