杀了四个小时,当我手动杀的差不多时才发现...
555555~~~~
以下是最后找到的成果,文字部分为转贴
真实有效
1、运行regedit打开注册表。
2、在服务中找到Kerberos Key Distribution Centers 服务并停止它。查看进程确保进程列表中只有一个lsass.exe路径为c:/windows/system32。
3、在注册表中清除如下健值:[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/]中的cmd.exe、msconfig.exe、regedit.exe、regedt32.exe项。
[HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/]中的kkdc项
[HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001
/Services/SharedAccess/Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications /List]中的"C://WINDOWS//lsass.exe"="C://WINDOWS//lsass.exe:*:Enabled: lsass.exe"
查看[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/]中是否存在kkdc项,如存在删除kkdc项。
查看[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/SharedAccess/ Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications/List]中是 否有
"C://WINDOWS//lsass.exe"="C://WINDOWS//lsass.exe:*:Enabled:lsass.exe", 如有则删除"C://WINDOWS//lsass.exe"="C://WINDOWS//lsass.exe:*:Enabled: lsass.exe"。
4、我的电脑-工具-文件夹选项-查看 中“隐藏受保护的操作系统文件”前面的对勾去掉,并选中“显示所有文件和文件夹”确定。
5、在C:/windows目录中找到lsass.exe、regedit.exe.exe、cmd.exe.exe、setuprs1.pif以及有病 毒生成的文件这些文件有个特征是“没有图标”的后缀名为.exe的文件。(这些文件是由于在中毒后运行cmd.exe、regedit.exe、 regedit32.exe、maconfig.exe时生成的文件,文件名一般为r.exe、r0.exe等。)
6、开始-运行 输入cmd 进入命令提示符。(如果C盘根目录下有runauto..隐藏文件夹和autorun.inf两个存在)在C盘根目录下输入如下命令:
rmdir RUNAUT~1 /s /p
或者
rd /s/q runauto.../
del autorun.inf
如果别的磁盘也有runauto..隐藏文件夹和autorun.inf两个存在则在cmd 下进入相应盘符执行同样操作即可。
注:autorun.inf文件一般只存在于C盘和移动磁盘里,而runauto..隐藏文件夹则是每个磁盘下都会有。
7、确定删除完毕后重新启动机器即可。
在csdn混了一段时间了:发现自己的这篇转贴居然这么多人看。
算了,写个脚本回报社会吧。(代码写的简陋,仅适用于已经中了该病毒,并且是Xp系统,系统安装到C盘)
以下内容存为kill.bat运行之,就能搞定了。(前两天写的那个有一点儿小问题,现在已经修正了)Enjoy~
@echo off
echo -----------------------------------------------------------------------------------
echo ---- RECYCLER and runauto..专杀脚本 ----
echo ---- ----
echo ---- 作者: olojiang 2007.04.28 ----
echo -----------------------------------------------------------------------------------
echo 重剑无锋,大巧不工
net stop "kkdc"
echo 尝试关闭服务 kkdc
if exist kill.reg del kill.reg
echo Windows Registry Editor Version 5.00 >> kill.reg
echo [-HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/cmd.exe] >> kill.reg
echo [-HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/msconfig.exe] >> kill.reg
echo [-HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/regedit.exe] >> kill.reg
echo [-HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/regedt32.exe] >> kill.reg
echo [-HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/kkdc] >> kill.reg
echo [-HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/kkdc] >> kill.reg
echo [-HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/Services/kkdc] >> kill.reg
echo [-HKEY_LOCAL_MACHINE/SYSTEM/ControlSet003/Services/kkdc] >> kill.reg
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/SharedAccess/Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications /List] >> kill.reg
echo "C://WINDOWS//lsass.exe"=->> kill.reg
echo [HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/SharedAccess/Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications /List] >> kill.reg
echo "C://WINDOWS//lsass.exe"=->> kill.reg
echo [HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/Services/SharedAccess/Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications /List] >> kill.reg
echo "C://WINDOWS//lsass.exe"=->> kill.reg
echo [HKEY_LOCAL_MACHINE/SYSTEM/ControlSet003/Services/SharedAccess/Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications /List] >> kill.reg
echo "C://WINDOWS//lsass.exe"=->> kill.reg
copy c:/windows/regedit.exe c:/windows/regeditX.exe
c:/windows/regeditX.exe /s kill.reg
del kill.reg
del c:/windows/regeditX.exe
echo runauto.. 病毒的注册表清理完成
for %%i in (c d e f g h i j k l m n o p q r s t u v w x y z) do rd /s/q %%i%:/runauto.../
echo runauto.. 文件删除完成
for %%i in (c d e f g h i j k l m n o p q r s t u v w x y z) do @if exist %%i%:/RECYCLER/ echo %%i%:/RECYCLER/ is being deleted & @if exist %%i%:/RECYCLER/ rd /s/q %%i%:/RECYCLER/
echo RECYCLER 文件夹删除完成
pause
555555~~~~
以下是最后找到的成果,文字部分为转贴
真实有效
1、运行regedit打开注册表。
2、在服务中找到Kerberos Key Distribution Centers 服务并停止它。查看进程确保进程列表中只有一个lsass.exe路径为c:/windows/system32。
3、在注册表中清除如下健值:[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/]中的cmd.exe、msconfig.exe、regedit.exe、regedt32.exe项。
[HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/]中的kkdc项
[HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001
/Services/SharedAccess/Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications /List]中的"C://WINDOWS//lsass.exe"="C://WINDOWS//lsass.exe:*:Enabled: lsass.exe"
查看[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/]中是否存在kkdc项,如存在删除kkdc项。
查看[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/SharedAccess/ Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications/List]中是 否有
"C://WINDOWS//lsass.exe"="C://WINDOWS//lsass.exe:*:Enabled:lsass.exe", 如有则删除"C://WINDOWS//lsass.exe"="C://WINDOWS//lsass.exe:*:Enabled: lsass.exe"。
4、我的电脑-工具-文件夹选项-查看 中“隐藏受保护的操作系统文件”前面的对勾去掉,并选中“显示所有文件和文件夹”确定。
5、在C:/windows目录中找到lsass.exe、regedit.exe.exe、cmd.exe.exe、setuprs1.pif以及有病 毒生成的文件这些文件有个特征是“没有图标”的后缀名为.exe的文件。(这些文件是由于在中毒后运行cmd.exe、regedit.exe、 regedit32.exe、maconfig.exe时生成的文件,文件名一般为r.exe、r0.exe等。)
6、开始-运行 输入cmd 进入命令提示符。(如果C盘根目录下有runauto..隐藏文件夹和autorun.inf两个存在)在C盘根目录下输入如下命令:
rmdir RUNAUT~1 /s /p
或者
rd /s/q runauto.../
del autorun.inf
如果别的磁盘也有runauto..隐藏文件夹和autorun.inf两个存在则在cmd 下进入相应盘符执行同样操作即可。
注:autorun.inf文件一般只存在于C盘和移动磁盘里,而runauto..隐藏文件夹则是每个磁盘下都会有。
7、确定删除完毕后重新启动机器即可。
在csdn混了一段时间了:发现自己的这篇转贴居然这么多人看。
算了,写个脚本回报社会吧。(代码写的简陋,仅适用于已经中了该病毒,并且是Xp系统,系统安装到C盘)
以下内容存为kill.bat运行之,就能搞定了。(前两天写的那个有一点儿小问题,现在已经修正了)Enjoy~
@echo off
echo -----------------------------------------------------------------------------------
echo ---- RECYCLER and runauto..专杀脚本 ----
echo ---- ----
echo ---- 作者: olojiang 2007.04.28 ----
echo -----------------------------------------------------------------------------------
echo 重剑无锋,大巧不工
net stop "kkdc"
echo 尝试关闭服务 kkdc
if exist kill.reg del kill.reg
echo Windows Registry Editor Version 5.00 >> kill.reg
echo [-HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/cmd.exe] >> kill.reg
echo [-HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/msconfig.exe] >> kill.reg
echo [-HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/regedit.exe] >> kill.reg
echo [-HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/regedt32.exe] >> kill.reg
echo [-HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/kkdc] >> kill.reg
echo [-HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/kkdc] >> kill.reg
echo [-HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/Services/kkdc] >> kill.reg
echo [-HKEY_LOCAL_MACHINE/SYSTEM/ControlSet003/Services/kkdc] >> kill.reg
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/SharedAccess/Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications /List] >> kill.reg
echo "C://WINDOWS//lsass.exe"=->> kill.reg
echo [HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/SharedAccess/Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications /List] >> kill.reg
echo "C://WINDOWS//lsass.exe"=->> kill.reg
echo [HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/Services/SharedAccess/Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications /List] >> kill.reg
echo "C://WINDOWS//lsass.exe"=->> kill.reg
echo [HKEY_LOCAL_MACHINE/SYSTEM/ControlSet003/Services/SharedAccess/Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications /List] >> kill.reg
echo "C://WINDOWS//lsass.exe"=->> kill.reg
copy c:/windows/regedit.exe c:/windows/regeditX.exe
c:/windows/regeditX.exe /s kill.reg
del kill.reg
del c:/windows/regeditX.exe
echo runauto.. 病毒的注册表清理完成
for %%i in (c d e f g h i j k l m n o p q r s t u v w x y z) do rd /s/q %%i%:/runauto.../
echo runauto.. 文件删除完成
for %%i in (c d e f g h i j k l m n o p q r s t u v w x y z) do @if exist %%i%:/RECYCLER/ echo %%i%:/RECYCLER/ is being deleted & @if exist %%i%:/RECYCLER/ rd /s/q %%i%:/RECYCLER/
echo RECYCLER 文件夹删除完成
pause