病毒查杀

关注公众号 jb51net

关闭
首页 > 实用技巧 > 病毒查杀 >

Auto Autorun.inf desktop.ini sxs.exe auto.exe类病毒的手动处理完全技巧

作者:

Auto Autorun.inf desktop.ini sxs.exe auto.exe类病毒的手动处理完全技巧

特整理一篇Auto Autorun.inf desktop.ini sxs.exe auto.exe类病毒的手动处理完全技巧,大家可以看图片设置的方法,让Auto Autorun.inf desktop.ini sxs.exe auto.exe类病毒无处遁形

最近多发的一个病毒,表现为:

1、在每个分区下都会有三个文件,属性为隐藏,文件名分别为:Autorun.inf,Desktop.in,sxs.exe,其中EXE文件是病毒文件!

2、不能双击打开分区,如D盘,双击后会出现一个打开方式选择提示!

3、右键菜单里有一个Auto项,没办法清理掉。

4、“显示所有文件和文件夹”选项不能被选中,(这是最严重的一种情况了)。

网上已经有相关的资料(附后),但是有的比较麻烦,有的又不能真正的有用,这里给出一个个人常用的手工处理办法,以供大家参考。

如果你的系统只有以上四种情况中的一两种,那处理比较容易。

1、进入安全模式,进入后一定不要双击任何一个盘,而是使用右键或者资源管理器的左边单击法打开。进入文件夹选项,如下图:

2、打开(一定不要双击)C:盘、D:盘等,看看里面是不是有上述的三个文件或者有其中的一两个,如果有,删除它,(一定不要双击到其中的任何一个文件,不然病毒马上执行。

3、如果没有,那么,再次打开上图的对话框,看看选项是不是还和上图一样,如果不一样了,又变回了下图这样,那么,当前病毒已经在运行了。转入4处理。

4、如果病毒已经在运行中,那么我们只能强行结束病毒进程,才可以修改以上位置,强行结束病毒进行的方法很多,以下引用一个方法。

=============结束病毒进程的办法一=====================

 很多人发现自己的计算机有病毒时,直接删除,是删除不了的,因为病毒在运行,所以没办法.
    很多人喜欢使用第三方工具来结束病毒进程然后进行查杀,其实本人不太赞成老是依赖第三方工具的,因为这毕竟是人家做出来的东西,自己只会用,永远不知道它的原理,那么,自己永远只是菜鸟一只.

    这里教大家不使用第三方工具结束进程的两个办法.

    第一:这个办法在XP下用过,比方说,我们要结束 aaa.exe 这个进程, 那么依次按 开始/运行/输入cmd,在命令提示符下,输入 taskkill /im aaa.exe ,那么,就可以强行杀死这个进程了

    第二:上面这些方法,对部分病毒有效,可是对一些更多的"老顽固",有可能就没办法了.这个时候,win 2000 以上系统的内置命令 ntsd ,来强行杀死一切病毒进程,因为该命令除了 system  smss.exe  csrss.exe  不能结束以外,其他基本可以的
    输入三键:ALT + CTRL + DELETE ,进入windows任务管理器里,在任务管理器上面的菜单中点"查看",将"pid" 选项选中.点确定,然后选择 "进程" , 你就可以看到病毒进程的"pid"号了.

    比如病毒的"pid"是 123 ,接着,在刚才讲的命令提示符下,输入" ntsd -c q -p 123 " 来结束这个病毒进程.
    假如大家想看 ntsd 的参数有什么用(只要你有耐性,加上你的英语过6级),那么输入 ntsd /?  即可

    至于有些病毒隐藏了自身的进程,不好意思,本人能力有限,所以到现在为止,本人都是使用第三方工具查看隐藏进程的,所以对这方面自认还是菜鸟一只,请多包涵!
    

====================结束病毒进程的方法完===============

还有其它的方法,比如用一些软件,如优化大师,360安全卫士等,这里不再累述。结束了病毒进程(如果你不知道哪个是病毒进程,那么把非系统进程全部结束就好了,关于哪些是系统进程,后就重复第2步。

5、这时你应该在盘里可以看到上述的三个文件了,删除它们吧,强行删除。

6、选择搜索,查找desktop.ini文件,你会发现在每个文件夹里都有一个这样的文件,一共可能有几千个,按下Shift+Del强行删除,没事的,不会出什么问题,就算是C盘里的也没事!

7、删除后,重启计算机,再看看能不能正常使用了,有时这样处理后仍然不行,有时右键菜单里还是有那个Auto,如果是这样,那么你的系统应该是中了一些比较麻烦的变种,处理方法可以参考以下的网文,但是都要修改注册表什么的,如果是我,我就不去管它了,GHOST吧,30分钟就搞定的事没必要花更多时间去一步步处理。(推荐使用电脑公司6.0GHOST版,着实好用,鸣谢)

8、重装或者GHOST后,其实C盘之外的病毒还是在的,不会自动消亡,但是,系统是干净的了,这时再从第一步处理着来,一定要从第一步来过,再次强调,一定不要双击任何盘符,否则前功尽弃!又要重装一次了。

好了,这样处理后,你的系统里的关于这个病毒的问题一般就可以解决了,如果是其它病毒,再用其它办法来处理。建议安装好系统,清理完上述病毒后,安装一个可以升级的杀毒软件,进行一下全盘扫描,推荐使用卡巴,不过这几天由于海底光缆被地震破坏和卡巴斯基官方在打击盗版,卡巴可能升级不了。(卡巴斯基的安装,请上www.360safe.com下载安装安全卫士后下载并激活,就可以升级了相当于正版,当然瑞星或者其它杀毒软件也不错,根据你的需要吧。扫描完成后,安装软件,完了最好使用GHOST备份一下系统,备份后以后如果有问题就可以快速恢复了,当然你必须要有一张工具光盘,建议使用上文中提到的GHOST XP电脑公司版,如果你找不到,可以和我联系,QQ:24560974,我帮你找)。

好了,好好享用你的系统吧!

===========以下是网上找到的有关这个病毒的处理办法,参考============

Worm.Viking.m
该病毒为Windows平台下集成可执行文件感染、网络感染、下载网络木马或其它病毒的复合型病毒,病毒运行后将自身伪装成系统正常文件,以迷惑用户,通过修改注册表项使病毒开机时可以自动运行,同时病毒通过线程注入技术绕过防火墙的监视,连接到病毒作者指定的网站下载特定的木马或其它病毒,同时病毒运行后枚举内网的所有可用共享,并尝试通过弱口令方式连接感染目标计算机。
运行过程过感染用户机器上的可执行文件,造成用户机器运行速度变慢,破坏用户机器的可执行文件,给用户安全性构成危害。
病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。

1、病毒运行后将自身复制到Windows文件夹下,文件名为:
%SystemRoot%\rundl132.exe

2、运行被感染的文件后,病毒将病毒体复制到为以下文件:
%SystemRoot%\logo_1.exe

3、同时病毒会在病毒文件夹下生成:
病毒目录\vdll.dll

4、病毒从Z盘开始向前搜索所有可用分区中的exe文件,然后感染所有大小27kb-10mb的可执行文件,感染完毕在被感染的文件夹中生成:
_desktop.ini (文件属性:系统、隐藏。)

5、病毒会尝试修改%SysRoot%\system32\drivers\etc\hosts文件。

6、病毒通过添加如下注册表项实现病毒开机自动运行:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="C:\\WINNT\\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\\WINNT\\rundl132.exe"

7、病毒运行时尝试查找窗体名为:"RavMonClass"的程序,查找到窗体后发送消息关闭该程序。

8、枚举以下杀毒软件进程名,查找到后终止其进程:
Ravmon.exe
Eghost.exe
Mailmon.exe
KAVPFW.EXE
IPARMOR.EXE
Ravmond.exe

9、同时病毒尝试利用以下命令终止相关杀病毒软件:
net stop "Kingsoft AntiVirus Service"


10、发送ICMP探测数据"Hello,World",判断网络状态,网络可用时,
枚举内网所有共享主机,并尝试用弱口令连接\\IPC$、\admin$等共享目录,连接成功后进行网络感染。

11、感染用户机器上的exe文件,但不感染以下文件夹中的文件:
system
system32
windows
Documents and settings
system Volume Information
Recycled
winnt
Program Files
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gaming Zone

12、枚举系统进程,尝试将病毒dll(vdll.dll)选择性注入以下进程名对应的进程:
Explorer
Iexplore
找到符合条件的进程后随机注入以上两个进程中的其中一个。

13、当外网可用时,被注入的dll文件尝试连接以下网站下载并运行相关程序:
http://www.17**.com/gua/zt.txt 保存为:c:\1.txt
http://www.17**.com/gua/wow.txt 保存为:c:\1.txt
http://www.17**.com/gua/mx.txt 保存为:c:\1.txt

http://www.17**.com/gua/zt.exe 保存为:%SystemRoot%\0Sy.exe
http://www.17**.com/gua/wow.exe 保存为:%SystemRoot%\1Sy.exe
http://www.17**.com/gua/mx.exe 保存为:%SystemRoot%\2Sy.exe
注:三个程序都为木马程序

14、病毒会将下载后的"1.txt"的内容添加到以下相关注册表项:


[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
"auto"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]
"ver_down0"="[boot loader]\\\\\\\\\\\\\\\\+++++++++++++++++++++++"
"ver_down1"="[boot loader]
timeout=30
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" ////"
"ver_down2"="default=multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" /////"
“维金”病毒五大罪状
第一罪:感染系统文件
造成系统损坏,且手动清除困难;
第二罪:下载恶性木马
盗取魔兽、传奇帐号,灰鸽子开后门使系统完全受黑客控制,QQRobber病毒等;
第三罪: 多路网络传播方式
通过感染文件、局域网共享来传播;
第四罪: 强制禁用国内知名反病毒软件
降低性安全性,易感染其它病毒;
第五罪: 变种多
数日内,已出现多个变种


 前几天还在电脑公司上班的时候,发现有相当数量的顾客的硬盘一般除了C盘外,双击盘符无法打开,对于个人普通用户这种简单问题自然也要找人了!点击鼠标右键发现第一项并非是打开,而是一个什么AUTO之类的东西。不用说自然是中招了,一般来讲电脑公司习惯于装系统了事,简单吗,在电脑公司来三五天的人都能做到。不过具我们公司的技术学员和客户反应重新装系统之后(万能克隆几分钟就搞定了),无法解决问题!本人只好来手工解决!

     杀马当然要看进程和显示隐藏文件及扩展名,不过病毒竟然在这里动了手脚。在文件夹选项中“隐藏文件和文件夹“⒈不显示隐藏的文件和文件夹 ⒉显示所有文件和文件夹的地方选择”显示所有文件与文件夹“之后无法显示,点击应用确定后依然如故,重新打开发现自动又变了回去。幸好以前在哪里看到过超级隐藏之类的东西,本人还保存了那个显示隐藏文件和文件夹的注册表文件!   

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
 

   打开注册表,找到以上注册表项。发现checkvalue设置成了0。看正常电脑为1,自然改成1再说。再一次设置文件夹选项,显示所有文件夹,恢复正常。发现每个分区下都有几个隐藏文件,怪不得重装系统也没有用,而且连瑞星杀毒软件都无法安装!结束相关进程,把所有相关文件删除,右键恢复正常!原来是病毒文件搞的鬼,而且设置了系统,使用户无法显示隐藏的文件自然就看不到它自己,真是无孔不入!删除后安装杀毒软件一切正常也没有其他问题!问题虽然相当简单,但那几天有相当一部分客户拿来维修都是完全一样的问题,也不知道是不是新出现的什么东西!虽然对于搞电脑的人是最入门级的东西,但对普通用户也不是简单的问题!

   事后研究了一下,最近无事,想想BLOG也没什么可写,贴在此处以供新手查询,高手勿笑!

  1  在注册表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]
下有两项:NOHIDDEN与SHOWALL,有人说是三项(98吧),不过我自己的电脑只有此两项。NOHIDDEN自然是不显示隐藏文件,SHOWALL是显示所有文件。在两项下都有CheckedValue,DefaultValue值!
  上例即是更改了相关的注册表键值[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
的"CheckedValue",
系统默认"CheckedValue"=dword:00000001,"DefaultValue"=dword:00000002,如果将CheckedValue设置为0就会造成无法更改显示所有隐藏文件!正常情况可以将文件夹及文件属性设成隐藏,但具有初级知识的用户都知道去更改以显示隐藏文件,通过手工修改注册表,将showall下的checkdvalue设置为0防止普通用户查看,对于老鸟自然无任何用处!
 2  将显示所有隐藏文件设为文件夹选项的默认值!至于DefaultValue值自然是默认值,我没有在微软查到此处具体每个值的含义,不过可以设置肯定会有1,2或者也有0。如果将[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]的"DefaultValue"设为1应该是使其成为默认,你会发现在查看中选项恢复默认值的时候,两项都被选中了。如果想将显示所有隐藏文件设为默认值可以将NOHIDDEN的DefaultValue设为1而将SHOWALL的DefaultValue也设为1!这样默认就是显示所有的隐藏文件!大家可以自己更改一下看一下具体效果。
3 总之遇到类似的问题大家可以看一下这里有没有被动过手脚!望路过注册表高手留下每一个值的详细设置!
4 网上看到的:更绝的是,利用注册表编辑器,我们可以将“查看”选项卡中的“隐藏文件”项下的三个单选按钮都隐藏掉。我们只需将上述“Hidden”下 “NOHIDDEN”、“NOHIDORSYS”、“SHOWALL”三个分支中的“Text”字符串键(注:Windows XP中该键的键值不同)的健值清除掉。这样,退出注册表编辑器后再进入“查看”选项卡,你就会发现“隐藏文件和文件夹”下面空空如也。任何人想要查看我们的个人文件就都是两个字——没门,因为这个地方根本没法选择!(将Hidden与NOHIDDEN两项删除,就什么都没有了,哈哈)

附:文件夹选项默认值:(XP系统,可以将以下文本保存为注册表文件导入注册表,以修复相关问题)

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]
"Text"="@shell32.dll,-30499"
"Type"="group"
"Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
  00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,\
  48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,\
  00
"HelpID"="shell.hlp#51131"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

2006-11-08 日补充:

  昨天在网吧又遇到这个情况,以前没有写这个,在每个盘符下有一个autorun.ini文件和sxs.exe文件,造成每个盘右键菜单第一项为AUTO,在网上没有查到相关资料,不过以前写这篇文章的时候,也是这个文件,不过似乎又有变化了,在任务管理器里看不到它的进程,删除之后马上恢复,在c:\windows\system32下有ourfns.exe文件及一个相关DLL(忘记了),在注册表里有这个执行文件的启动项,windows的任务管理器里看不到这个进程,以至无法删除,建议用冰刃结束进程再进行相关操作!

D盘和E盘 无法双击打开了,右键菜单里面的第一个是Auto并且是黑色的.是什么原因,但是C盘可以双击打开.2006-12-26 00:02中了落雪病毒。其解决方法是:

一、进入安全模式,运行“regedit”,查找autorun.exe所有的键值项并给予删除。按F3继续查找,直到没有为止。
二、重启后在硬盘中进行搜索autorun.exe,并全部删除。
三、按Ctrl+Alt+del,杀掉用户名(PID)为当前用户的autorun.exe进程。
四、运行msconfig,在启动选项卡中取消对boot.exe前面小方框的勾选。

阅读全文