runauto.. 病毒斗争记

最新推荐文章于 2024-10-20 16:57:36 发布
原创 最新推荐文章于 2024-10-20 16:57:36 发布 · 6.5k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#file #c #磁盘 #脚本 #cmd #windows

本文提供了一个详细的步骤指南,教你如何清除一种顽固的病毒。包括修改注册表设置、删除特定文件和服务、使用批处理脚本等方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

杀了四个小时,当我手动杀的差不多时才发现...

555555~~~~
以下是最后找到的成果,文字部分为转贴
真实有效

1、运行regedit打开注册表。

2、在服务中找到Kerberos Key Distribution Centers 服务并停止它。查看进程确保进程列表中只有一个lsass.exe路径为c:/windows/system32。

3、在注册表中清除如下健值:[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/]中的cmd.exe、msconfig.exe、regedit.exe、regedt32.exe项。

[HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/]中的kkdc项

[HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001
/Services/SharedAccess/Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications /List]中的"C://WINDOWS//lsass.exe"="C://WINDOWS//lsass.exe:*:Enabled: lsass.exe"

查看[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/]中是否存在kkdc项,如存在删除kkdc项。

查看[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/SharedAccess/ Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications/List]中是 否有
"C://WINDOWS//lsass.exe"="C://WINDOWS//lsass.exe:*:Enabled:lsass.exe", 如有则删除"C://WINDOWS//lsass.exe"="C://WINDOWS//lsass.exe:*:Enabled: lsass.exe"。

4、我的电脑-工具-文件夹选项-查看 中“隐藏受保护的操作系统文件”前面的对勾去掉,并选中“显示所有文件和文件夹”确定。

5、在C:/windows目录中找到lsass.exe、regedit.exe.exe、cmd.exe.exe、setuprs1.pif以及有病 毒生成的文件这些文件有个特征是“没有图标”的后缀名为.exe的文件。(这些文件是由于在中毒后运行cmd.exe、regedit.exe、 regedit32.exe、maconfig.exe时生成的文件,文件名一般为r.exe、r0.exe等。)


6、开始-运行 输入cmd 进入命令提示符。(如果C盘根目录下有runauto..隐藏文件夹和autorun.inf两个存在)在C盘根目录下输入如下命令:

rmdir RUNAUT~1 /s /p
或者
rd /s/q runauto.../

del autorun.inf

如果别的磁盘也有runauto..隐藏文件夹和autorun.inf两个存在则在cmd 下进入相应盘符执行同样操作即可。
注:autorun.inf文件一般只存在于C盘和移动磁盘里,而runauto..隐藏文件夹则是每个磁盘下都会有。

7、确定删除完毕后重新启动机器即可。

在csdn混了一段时间了:发现自己的这篇转贴居然这么多人看。
算了,写个脚本回报社会吧。(代码写的简陋,仅适用于已经中了该病毒,并且是Xp系统,系统安装到C盘)
以下内容存为kill.bat运行之,就能搞定了。(前两天写的那个有一点儿小问题,现在已经修正了)Enjoy~

@echo off
echo -----------------------------------------------------------------------------------
echo ----     RECYCLER and runauto..专杀脚本        ----
echo ----                                                    ----
echo ----     作者: olojiang  2007.04.28                              ----
echo -----------------------------------------------------------------------------------
echo 重剑无锋,大巧不工

net stop "kkdc"
echo 尝试关闭服务 kkdc

if exist kill.reg del kill.reg
echo Windows Registry Editor Version 5.00 >> kill.reg
echo [-HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/cmd.exe] >> kill.reg
echo [-HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/msconfig.exe] >> kill.reg
echo [-HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/regedit.exe] >> kill.reg
echo [-HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/regedt32.exe] >> kill.reg

echo [-HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/kkdc] >> kill.reg
echo [-HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/kkdc] >> kill.reg
echo [-HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/Services/kkdc] >> kill.reg
echo [-HKEY_LOCAL_MACHINE/SYSTEM/ControlSet003/Services/kkdc] >> kill.reg
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/SharedAccess/Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications /List] >> kill.reg
echo "C://WINDOWS//lsass.exe"=->> kill.reg
echo [HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/SharedAccess/Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications /List] >> kill.reg
echo "C://WINDOWS//lsass.exe"=->> kill.reg
echo [HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/Services/SharedAccess/Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications /List] >> kill.reg
echo "C://WINDOWS//lsass.exe"=->> kill.reg
echo [HKEY_LOCAL_MACHINE/SYSTEM/ControlSet003/Services/SharedAccess/Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications /List] >> kill.reg
echo "C://WINDOWS//lsass.exe"=->> kill.reg

copy c:/windows/regedit.exe c:/windows/regeditX.exe
c:/windows/regeditX.exe /s kill.reg
del kill.reg
del c:/windows/regeditX.exe
echo runauto.. 病毒的注册表清理完成

for %%i in (c d e f g h i j k l m n o p q r s t u v w x y z) do  rd /s/q %%i%:/runauto.../
echo runauto.. 文件删除完成

for %%i in (c d e f g h i j k l m n o p q r s t u v w x y z) do @if exist %%i%:/RECYCLER/ echo %%i%:/RECYCLER/ is being deleted & @if exist %%i%:/RECYCLER/ rd /s/q %%i%:/RECYCLER/
echo RECYCLER 文件夹删除完成

pause
runauto...病毒的清除方法.rar
11-19
runauto...病毒清除的好用的方法,批处理文件,下载解压后,直接双击打开即可以清除最近最头痛的runauto...病毒啦!!
runauto 病毒
周海汉的开发专栏
04-23 5913
周海汉 /文我的系统一直保持版本最新的,反病毒软件norton security 2005也及时更新,但还是染上了runauto病毒。该病毒很难对付,据说通过U盘的自动执行感染。该病毒症状如下:双击打开系统盘报错,说找不到打开方式。用WIN+E打开,点左边的树形目录,将所有隐藏文件打开,会看到有隐藏的目录 runauto...,autorun.inf,autorun.inf.tmp等文
清除runauto病毒
lovenjoy的专栏
05-29 566
1、运行regedit打开注册表。如果运行不了的话,在windows目录找到regedit.exe 改名为regedit.com,怎么改名你应该知道的,双击后会出来注册表编缉器的,然后.2、在服务中找到Kerberos Key Distribution Centers 服务并停止它。查看进程确保进程列表中只有一个lsass.exe路径为c:/windows/system32。3、在注册表中清除如下
runauto..病毒的解决方案
06-18 1123
现象:l  计算机的盘符根目录中发现名为runauto..的一个隐藏文件夹,在安全模式下也无法删除,用AUTO专杀工具无法查找到。l  打开“运行”,敲入cmd、regedit、regedit32、msconfig均无法找到该程序,并提示“windows 找不到文件‘***’,请确定文件名是否正确后再试一次。”但system32中存在cmd.exe,regedit.exe,regedit32.ex
RunAuto专杀工具
07-31
RunAuto专杀工具 此病毒是灰鸽子的一种,主要通过U盘传播,一般的AUTO专杀工具无法查杀。 中毒后在每个盘符下生成runauto..的隐藏文件夹,安全模式下也无法删除。 病毒对系统进行映像劫持,分别劫持cmd,regedit,msconfig,service等程序。 同时服务中增加Kerberos Key Distribution Centers服务,并以进程保护。 病毒进程为C:\windows\lsass.exe,该进程无法手动结束。
Runauto...病毒清除指南与防范策略.zip
最新发布
weixin_26907223的博客
10-20 666
本文还有配套的精品资源,点击获取 简介:"Runauto..."病毒是一种常见的恶意软件,通过多种渠道传播,可对系统性能和数据安全造成威胁。本文将介绍清除该病毒的方法,包括理解病毒的工作原理、使用批处理文件自动化执行清理操作,并强调了数据备份的重要性。同时,提及专业反病毒软件的使用,以及日常防范措施,以确保计算机安全。 1. Runauto...病毒概述 在...
病毒文件runauto.详解
weixin_34310369的博客
01-08 320
得有一段时间,单位的U盘上总中病毒,其中一种病毒就会产生runauto.这个文件夹。既不能访问也不能删除,后来下载了一个软件才解决掉了它。不甘心,查阅了一些资料,试验了一下,才终于算是明白点了。 要想明白runauto.这个文件夹是怎么建立的,不得不从dos说起了。 (以下是从网上摘录)比如用dos命令mdtest..\建立出来的文件夹就是...
runauto..删除工具
10-28
"runauto..删除工具" 这个标题明确指出这是一款专门用于清除“runauto病毒的程序。"runauto"病毒通常是指一类自动运行的恶意软件,它们利用Windows系统的自动运行功能(如autorun.inf文件)来在用户插入U盘或硬盘...
删除runauto..文件夹解决方法
11-13
### 删除runauto..文件夹解决方法 在计算机操作过程中,我们常常会遇到一些难以删除的文件或文件夹,这些问题往往让很多用户感到头疼。本文将详细介绍如何解决“runauto..”这一特殊文件夹的删除问题,并提供两种...
移动硬盘、U盘中的runauto..文件夹删除的方法!
12-22
### 移动硬盘、U盘中的runauto..文件夹删除的方法! 在日常使用移动存储设备的过程中,用户可能会遇到一种特殊类型的文件夹——`runauto..`。这种文件夹通常是隐藏的,并且不易于通过常规方法删除。本文将详细介绍...
runauto专杀工具.bat
04-07
一个批处理软件,专杀runauto..病毒。运行一遍即可。本人制作,无毒,上传只为积分。
删除 runauto.. 目录
IT_Service的专栏
06-16 582
进入DOS方式,运行 rd /s runauto.../其它类似 XXX.. 的目录都可以按这种方法删除
如何删除runauto..病毒
xiaoGang的专栏
09-20 1017
现象: l 计算机的盘符根目录中发现名为runauto..的一个隐藏文件夹,在安全模式下也无法删除,用AUTO专杀工具无法查找到。 l 打开“运行”,敲入cmd、regedit、regedit32、msconfig均无法找到该程序,并提示“windows 找不到文件‘***’,请确定文件名是否正确后再试一次。”但system32中存在cmd.exe,regedit.exe,regedit32.ex
K8s 很难么?带你从头到尾捋一遍,不信你学不会
民工哥的博客
02-23 9842
点击关注公众号,回复“1024”获取2TB学习资源!为什么要学习 Kubernetes?虽然 Docker 已经很强大了,但是在实际使用上还是有诸多不便,比如集群管理、资源调度、文件管理等...
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)
北豼不太皮的博客
02-21 4025
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)一、学习目标二、了解单片机STM32F401RET6三、C语言基础 一、学习目标 二、了解单片机STM32F401RET6 4、STM32F401RE特征 三、C语言基础 1.数据类型 常用2的次方: 2^7 = 128 2^8 = 256 2^15 = 32768 2^16= 65536 51单片机常见的数据类型: char: 占内存1字节 取值范围:-128~127 -2^7 ~ 2
Android开发(1) | Fragment 的应用——新闻应用
Jormungand_V的博客
02-21 7414
文章目录 news_item.xml: <TextView xmlns:android="http://schemas.android.com/apk/res/android" android:id="@+id/news_title" android:layout_width="match_parent" android:layout_height="wrap_content" android:lines="1" android:ellipsize="
RunAuto病毒专杀工具:一键清除U盘威胁
标题中的“runauto..删除工具”表明这是一款用于清除名为“runauto”的病毒的软件工具。描述中提到,该工具可以运行于U盘或硬盘中,并且具有删除病毒的功能。文件标签“u盘病毒”强调了该工具的主要用途是针对那些在...
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值