查看: 1786|回复: 8

请帮下小弟解决这个病毒

杯户中学生

0 主题	0 好友	1 积分

帖子: 51
精华: 0
积分: 1
威望: 0
ＲＰ: 0
金钱: 0 柯币
人气: 0 ℃
注册时间: 2004-7-8

发消息

电梯直达

顶楼

发表于 2007-12-4 22:24:23 |只看该作者 |倒序浏览

我家的电脑不知中了什么病毒,每次双击打开我的电脑里面的CDEF盘随便一个都是自动运行的,搞到每次都要用右键打开才行.而且双击一次就中一次病毒..请个位高手帮帮忙!

分享到: QQ好友和群 微信

淘帖0 分享0 收藏0 喝彩0 无视0 分享到新浪微博

盗走别人的财产，是贼！盗走别人的幸福，是贼！盗走别人的痛苦……也是贼么？！

事务所微信公众号上线，快来关注吧~

使用道具举报

JayZ

平成的福尔摩斯

技术区荣誉版主

8 主题	0 好友	1372 积分

帖子: 2875
精华: 3
积分: 1372
威望: 377
ＲＰ: 2415
金钱: 10726 柯币
人气: 1166 ℃
注册时间: 2003-10-14

发消息

沙发

发表于 2007-12-5 12:07:36 |只看该作者

地址栏中输入C:\autorun.inf

把内容发上来.

伊人窈窕文辞清，最美无邪少女心。天涯海角有穷处，总有相思无尽音。

柯南20周年纪念事务所专题站开放

使用道具举报

jiluya113

杯户中学生

0 主题	0 好友	1 积分

帖子: 51
精华: 0
积分: 1
威望: 0
ＲＰ: 0
金钱: 0 柯币
人气: 0 ℃
注册时间: 2004-7-8

发消息

板凳

发表于 2007-12-5 12:43:15 |只看该作者

[AutoRun]
open=auto.exe
shellexecute=auto.exe
shell\Auto\command=auto.exe

盗走别人的财产，是贼！盗走别人的幸福，是贼！盗走别人的痛苦……也是贼么？！

事务所微信公众号上线，快来关注吧~

使用道具举报

lxqinq

杯户中学生

10 主题	0 好友	6 积分

帖子: 78
精华: 0
积分: 6
威望: 1
ＲＰ: 11
金钱: 87 柯币
人气: 298 ℃
注册时间: 2005-12-1

发消息

地板

发表于 2007-12-5 14:26:02 |只看该作者

先进入安全模式，选择“文件夹选项”，在查看选项里，把“隐藏受保护的操作系统文件（推荐）”前面的勾去掉，会出现警告提示的，不用管它，然后选中“显示所有文件夹和文件”前面的勾打上，“确定”。然后搜索CDEF盘里的auto.exe和autorun.inf文件，搜索完毕以后全部删除！！！然后重启电脑，进入系统，选择“文件夹选项”，在查看选项里，把“隐藏受保护的操作系统文件（推荐）”前面的勾打上，然后把“不显示隐藏文件夹和文件”前面的勾打上，“确定”以后，就可以了！！

柯南20周年纪念事务所专题站开放

使用道具举报

JayZ

平成的福尔摩斯

技术区荣誉版主

8 主题	0 好友	1372 积分

帖子: 2875
精华: 3
积分: 1372
威望: 377
ＲＰ: 2415
金钱: 10726 柯币
人气: 1166 ℃
注册时间: 2003-10-14

发消息

5楼

发表于 2007-12-5 20:45:23 |只看该作者

auto.exe病毒的分析与手动清除方法

破坏方法：
VB写的病毒，一旦运行，病毒将复制自己到如下目录<以win98为例，其它系统也在相应目录>：
C:\AUTORUN.INF
C:\WINDOWS\AUTO.EXE
C:\AUTO.EXE
C:\PROGRAM FILES\AUTO.EXE
C:\WINDOWS\ALL USERS\DESKTOP\SYSBOY.EXE
C:\WINDOWS\ALL USERS\START MENU\PROGRAMS\启动\AUTO.EXE
C:\WINDOWS\DESKTOP\SYSGRIL.EXE
C:\WINDOWS\START MENU\PROGRAMS\启动\AUTO.EXE
修改注册表如下：
HKLM\\Software\Microsoft\Windows\CurrentVersion
\Run
"％CURDIR％\SYSBOY.exe"
HKLM\\Software\Microsoft\Windows\CurrentVersion
\Run\Explorer
"C:\auto.exe"
HKLM\\Software\Microsoft\Windows\CurrentVersion
\RunServices\Explorer
"％CURDIR％\SYSBOY.exe"
HKLM\\Software\Microsoft\Windows\CurrentVersion
\RunServices\Systry
"C:\Program Files\auto.exe"
HKLM\\Software\Microsoft\Windows\CurrentVersion
\Runonce\Systry
"％CURDIR％\SYSBOY.exe"
HKLM\\Software\Microsoft\Windows\CurrentVersion
\Runonce\Systryt
"D:\auto.exe"
HKLM\\Software\Microsoft\Windows\CurrentVersion
\Runonceex\Systryt
"％CURDIR％\SYSBOY.exe"
HKLM\\Software\Microsoft\Windows\CurrentVersion
\Runservicesonce\rundll32
"％CURDIR％\SYSBOY.exe"
HKLM\\Software\Microsoft\Windows\CurrentVersion
\Runservicesonce\rundll64
"％CURDIR％\SYSBOY.exe"
HKCU\\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION
\POLICiES\SYSTEM\disableregistrytools
0x313131 -->禁止使用注册表工具
HKLM\\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION
\POLICiES\EXPLORER\nofolderoptions
0x313131 -->禁止打开文件夹选项
HKCU\\Software\Microsoft\Windows\CurrentVersion
\Policies\winoldapp\norealmode
0x313131 -->禁止进入实模式
HKCU\\Software\Microsoft\Internet Explorer
\Main\start page
" http://xxxwwwjjjhd.20forfree.com" -->修改IE默认页
HKCU\\Software\Microsoft\Internet Explorer
\Main\first home page
" http://xxxwwwjjjhd.20forfree.com" -->修改IE默认页
HKLM\\Software\CLASSES\Directory\shell
\Winamp.Play\first home page
"用 Winamp 播放(&p)"
HKLM\\Software\CLASSES\Directory\shell
\Winamp.Play\command\first home page
"C:\WINDOWS\auto.exe"
HKLM\\Software\CLASSES\Directory\shell
\Winamp.Enqueue\first home page
"加入 Winamp 队列(&E)"
HKLM\\Software\CLASSES\Directory\shell
\Winamp.Enqueue\
command\first home page
"C:\auto.exe"
HKLM\\Software\CLASSES\Directory\shell
\Winamp.Bookmark\first home page
"添加到 Winamp 的书签清单中(&B)"
HKLM\\Software\CLASSES\Directory\shell
\Winamp.Bookmark\
command\first home page
"D:\auto.exe"

HKCR\\txtfile\shell\open\command\first home page
"％CURDIR％\SYSBOY.exe"
HKCR\\swffile\shell\open\command\first home page
"C:\auto.exe"
HKCR\\mp3file\shell\open\command\first home page
"D:\auto.exe"
HKCR\\dllfile\shell\open\command\first home page
"E:\auto.exe"
HKCR\\htmfile\shell\open\command\first home page
"％CURDIR％\SYSBOY.exe"
病毒也将自动连接网站：
http://***xxxwwwjjjhd.20forfree.com。
这是一种使用网络非法传播来骗钱的病毒，即所谓的“第四传媒”-->以病毒的形式散布网站信息，为自己作广告。
病毒运行后将在系统的右下角显示一个圆形窗口，点击后将弹出矩形窗口，显示广告信息，如发现此病毒，建议使用防火墙禁止135端口。
清除办法：
1、结束病毒相关的进程；
2、根据上面的分析删除所有病毒相关的文件，如果遇到不能删除的文件，则使用冰刃等强制删除软件进行删除；
3、按照上面分析的注册表，一一删除；
4、重新启动计算机，应该就无问题了。

伊人窈窕文辞清，最美无邪少女心。天涯海角有穷处，总有相思无尽音。

事务所微信公众号上线，快来关注吧~

使用道具举报

Conan Dorr

杯户小学生

0 主题	0 好友	0 积分

昵称: 旺财
帖子: 46
精华: 0
积分: 0
威望: 0
ＲＰ: 0
金钱: 1 柯币
人气: 1888 ℃
注册时间: 2004-5-22

发消息

6楼

发表于 2007-12-6 15:35:53 |只看该作者

auto病毒的解决方法

@echo on
taskkill /im explorer.exe /f
taskkill /im wscript.exe
start reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXplorer\Advanced /v ShowSuperHidden /t REG_DWORD /d 1 /f
start reg import kill.reg
del c:\autorun.* /f /q /as
del %SYSTEMROOT%\system32\autorun.* /f /q /as
del d:\autorun.* /f /q /as
del e:\autorun.* /f /q /as
del f:\autorun.* /f /q /as
del g:\autorun.* /f /q /as
del h:\autorun.* /f /q /as
del i:\autorun.* /f /q /as
del j:\autorun.* /f /q /as
del k:\autorun.* /f /q /as
del l:\autorun.* /f /q /as
start explorer.exe

存成bat文件，双击就可以了，我以前也中过

_____________________________________________________________________
请不要单独开贴发布回帖内容.
另外.根据你所提供的bat内容.你需要上传kill.reg文件.

--------By JayZ

[ 本帖最后由 JayZ 于 2007-12-6 16:30 编辑 ]

柯南20周年纪念事务所专题站开放

使用道具举报