你中了AUTO.EXE病毒查杀办法如下:
一.症状分析:
1.时间被修改为2005年,每个盘的根目录有auto.exe,autorun.inf生成.
2.在windows下生成如下后缀名为.exe病毒程序.
3.在system32下生成如下病毒文件:(不包括drivers文件夹)
4.病毒加载的启动项如下:
5.病毒加载到注册表中run启动项的图示:
6.病毒运行后生成如下服务:
(注册表中服务位置:
a.HKEY_USERS\S-1-5-18\SYSTEM\CurrentControlSet\Services\711EC3AE
b.HKEY_USERS\.DEFAULT\SYSTEM\CurrentControlSet\Services\711EC3AE
c.HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\711EC3AE
d.HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\711EC3AE
e.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\711EC3AE)
7.病毒.dll文件注入到explorer.exe线程图示:
8.病毒下载添加到IE临时文件中(路径:右击IE看属性哪里看临时文件目录,我更改后在这个
位置:D:\IE临时文件\Temporary Internet Files)
9.病毒还可能存在的注册表位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\
ShellNoRoam\MUICache中.
二.解决方法:
1.断网.
2.结束explorer.exe(因为病毒文件注入到explorer.exe线程,所有杀毒都需要在结束explorer
.exe后进行,我们查看文件就通过"ctrl+alt+del"或者"ctrl+alt+esc"调出任务管理器来进行病
毒查杀操作).
3.先在任务管理器的新建运行中输入"services.msc"打开服务,找到711EC3AE先禁用,然
后在运行中输入"regedit"搜索"711EC3AE"找到删除,或者看上面分析中的路径直接找到
删除.
4.通过任务管理器新建运行输入msconfig -5然后把下面隐藏微软服务的勾打上,看这里新
增加的服务,找到禁用.然后看系统配置实用程序的启动项,把那些启动的病毒程序勾去掉,(
具体如上图所示)还是通过任务管理器进去删除上面图示的所有病毒文件.
5.同理在任务管理器新建运行中输入"regedit"找到"HKEY_LOCAL_MACHINE\SOFTWA
RE\Microsoft\Windows\CurrentVersion\Run"然后删除.
再找到这里查看一下右侧:HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellN
oRoam\MUICache(病毒在这里也有残留)
6.在任务管理器中新建运行中点浏览找上面分析的各盘病毒文件用"shift+delete"删除.(比
如:windows,system32下面的病毒文件,还有各盘的auto.exe,autorun.inf.)
7.然后重启电脑后再运行"%temp%清理一下临时文件,再清理一下IE临时文件和cookies
文件.(路径:右击IE属性查看可找到具体位置)
8.最后把时间更改过来.
(注:杀毒中间不能加载explorer.exe这个进程,不然病毒会死灰复燃.)
三.批处理查杀病毒(朋友编写):把下面内容复制到记事本中将.txt更改后缀名为.cmd,双击
运行第二个自动查杀,.如有清理不了的,我们可以借助快捷键打开任务管理器到具体路径
再手工清理一下.)
1.cmd
tskill iexplore
tskill explorer
tskill rundll32
del/a/s/f/q c:\autorun.inf
del/a/s/q/f c:\auto.exe
del/a/s/f/q d:\autorun.inf
del/a/s/q/f d:\auto.exe
del/a/s/f/q e:\autorun.inf
del/a/s/q/f e:\auto.exe
del/a/s/f/q f:\autorun.inf
del/a/s/q/f f:\auto.exe
del/a/s/f/q g:\autorun.inf
del/a/s/q/f g:\auto.exe
%0
kill.cmd(文件名)
tskill iexplore
tskill explorer
tskill rundll32
sc config 711EC3AE start= DISABLED
net stop 711EC3AE
start 1.cmd
del/a/s/f/q %temp%\.
del/a/s/f/q c:\windows\tasks\*.job
c:
cd\
del/a/s/f/q *.log
del/a/s/f/q 4a5ac860.*
del/a/s/f/q avpsrv.*
del/a/s/f/q c269d4ca.*
del/a/s/f/q cmdbcs.*
del/a/s/f/q dh2104.*
del/a/s/f/q mosou.*
del/a/s/f/q mstmms32.*
del/a/s/f/q nwizdh.*
del/a/s/f/q nwizqjsj.*
del/a/s/f/q nwizwlwzs.*
del/a/s/f/q nwizwmgjs.*
del/a/s/f/q nwizzhuxians.*
del/a/s/f/q thumbs.db
del/a/s/f/q timhost.*
del/a/s/f/q winform.*
del/a/s/f/q ztinetzt.*
del/a/s/f/q k111970574213.exe
del/a/s/f/q k111970678313.exe
del "C:\Documents and Settings\All Users\「开始」菜单\程序\启动\*.*" /q /f
del "C:\Documents and Settings\Default User\「开始」菜单\程序\启动\*.*" /q /f
del "%userprofile%\「开始」菜单\程序\启动\*.*" /q /f
reg delete HKEY_USERS\S-1-5-18\SYSTEM\CurrentControlSet\Services\711EC3AE
/va /f
reg delete HKEY_USERS\.DEFAULT\SYSTEM\CurrentControlSet\Services\711EC3AE
/va /f
reg delete HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\711EC3AE /va /f
reg delete HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\711EC3AE
/va /f
reg delete HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\711EC3AE
/va /f
reg delete
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /va /f
reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
/va /f
reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /v
ctfmon.exe /d C:\WINDOWS\system32\ctfmon.exe
(注:1.HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache的
快照。。用户手工去清除一下。2.杀毒后,清理一下IE临时文件和cookies,)
----------------------------------------------------------------------------------------------------------------------------------------------------------------
如果你感觉太麻烦,可以下个AUTO病毒专杀工具!
