瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 什么病毒?盘符下多了一个文件夹runauto..,无法删除

1   1  /  1  页   跳转

什么病毒?盘符下多了一个文件夹runauto..,无法删除

收藏
sapp
头像
初生襁褓狮
  • 帖子:13
  • 注册: 2006-09-17
  • 来自:
发表于: 2007-06-15 01:30 | 显示全部 短消息 资料
字号: 1楼

什么病毒?盘符下多了一个文件夹runauto..,无法删除

什么病毒?盘符下多了一个文件夹runauto..,无法删除

附件附件:

下载次数:1235
文件类型:image/pjpeg
文件大小:
上传时间:2007-6-15 1:30:44
描述:
预览信息:EXIF信息



最后编辑2007-06-15 03:01:29.793000000
分享到:
gototop
 
sapp
头像
初生襁褓狮
  • 帖子:13
  • 注册: 2006-09-17
  • 来自:
发表于: 2007-06-15 01:33 | 显示全部 短消息 资料
字号: 2楼

今天在电脑C,H,D盘里发现名为runauto..的一个文件夹,在安全模式下也无法删除,粉碎也不可以,用AUTO专杀工具扫了一道也扫不出来,右键里没有AUTO 。。。。。。是不是又变种了?
——————————————————————————————————————

回帖的说什么的都有,有说用del命令的,有说用unlocker先改名再覆盖然后删除的,有说用纯DOS的。

呵呵,我仔细看了下,文件夹名称为runauto..  很快明白其实这个文件夹是在MS-DOS下建立的,其真实名称应为runauto...\ 

删除办法:(以 D 盘为例)
开始——运行——输入“cmd”——输入“D: ”——输入“rd /s/q runauto...\ ”

该文章转载自Pclala电脑大本营:http://www.pclala.com/Info/7526.Html
gototop
 
sapp
头像
初生襁褓狮
  • 帖子:13
  • 注册: 2006-09-17
  • 来自:
发表于: 2007-06-15 01:34 | 显示全部 短消息 资料
字号: 3楼

根目录下出现runauto..文件夹之解决办法 
[ 2007-6-5 17:11:00 | By: dwcpa ]
 


    电脑硬盘里发现名为runauto..的一个文件夹,在安全模式下也无法删除,粉碎也不可以。运行CMD准备在DOS下 删除,仍然无法删除。   
      在网上转悠了一圈,才知道 文件夹名称为runauto..  其实这个文件夹是在MS-DOS下建立的,其真实名称应为runauto...\ 
      删除办法:(以 D 盘为例)
      开始——运行——输入“cmd”——输入“D: ”——输入“rd /s/q runauto...\ ”

      附加说明:
      凡出现这个情况者,基本判定为中了07版灰鸽子病毒,建议使用官方专用卸载程序:
      http://hi.baidu.com/peaset/blog/ ... 45d31ebe09e690.html(好像不起作用哟)
      手工清除方案(在安全模式下):
      1、禁止进程创建。
      2、结束病毒进程%windows%\dllhost.exe。
      3、删除病毒文件:
      %windows%\dllhost.exe
            %windows%\setuprs1.exe
            X:\runauto..\autorun.pif(X代表各硬盘分区以及U盘盘符)
      X:\runauto..文件夹
      4、删除病毒服务项,即删除注册表以下分支:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\COMSystemApp
      此外,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List分支下的"C:\\windows\\dllhost.exe"="C:\\windows\\dllhost.exe:*:Enabled:dllhost.exe"也要删除。
      5、删除病毒添加的IFEO项,即删除注册表以下分支:
      HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
      Options\cmd.exe
      HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
      Options\regedit.exe
      HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
      Options\regedt32.exe
   

重新启动即可
gototop
 
sapp
头像
初生襁褓狮
  • 帖子:13
  • 注册: 2006-09-17
  • 来自:
发表于: 2007-06-15 02:42 | 显示全部 短消息 资料
字号: 4楼

大家都知道在Windows中“\”符号是路径的分隔符号,比如“C:\Windows\”的意思就是C分区中的Windows文件夹,“C:\Windows\System.exe”的意思就是C分区中的Windows文件夹中的System.exe文件,好继续我们假设一下:

  如果文件名中有“\”符号会怎么样呢?假如“S\”是一个文件夹的名字,这个文件夹位于:“F:\”,他的路径就是“F:\S\”,当我们试图访问的时候Windows会错误的认为我们要打开的文件是C分区的S文件夹,这样Windows就无法打开并且会返回一个错误,因为以上的路径并不存在。

  也许你现在正在尝试创建“S\”文件,但是Windows会提示你:“\”符号是不能作为文件、文件夹的名字的。看来Windows还是早已想到这一点了的。我们继续进行,就不信不能建立包含“\”符号的文件。

  现在打开你的电脑,我们要做一些很有趣的尝试。进入Windows后点击:开始>运行,然后输入“cmd”并回车(如果是Win98请输入"COMMAND”),这时你会看到Windows的命令控制台,我们就是要利用它完成我们剩下的测试:

Microsoft Windows XP [版本 5.1.2600]
(C) 版权所有 1985-2001 Microsoft Corp.
F:\Test>mkdir s\ 

F:\Test>mkdir s\s1\ 

F:\Test>mkdir s.\ 
子目录或文件 s.\ 已经存在。

F:\Test>mkdir s..\ 

F:\Test>mkdir s...\



  为什么会这样?我们先说你看到的这个“S.”文件夹,他即不能打开也不能删除,不能打开是因为他的实际路径是“F:\Test\s..\”(我们自己创建的所以可以确定他的实际路径)但是在Windows资源管理器中名字变成了“S.”也就是说当你试图打开它的时候Windows实际上尝试打开“F:\Test\s.\”当然是不能打开的,文件并不存在,所以Windows会报错。不能删除也是因为这个,Windows把一个实际存在的文件路径错误的解析为一个不存在的路径,并进行操作当然是无法完成的。

  该说“S..”这个文件了,这个文件可以打开,但是却无法删除。等等……打开?你以为Windows真的是打开了我们创建的“s...\”文件了吗?我们做下面的试验你就明白了:

Microsoft Windows XP [版本 5.1.2600]
(C) 版权所有 1985-2001 Microsoft Corp.

F:\Test>echo 1 > Txt1.txt 

F:\Test>copy Txt1.txt s..\ 
已复制      1 个文件。

F:\Test>echo 2 > Txt2.txt 

F:\Test>copy Txt2.txt s..\ 
已复制      1 个文件。

F:\Test>



  现在回到你的资源管理器打开“S..”文件夹,你看到了什么?“Txt1.txt”文件怎么会在这里?我们刚刚的确复制到了“S.”呀?难道我们打开“S..”文件夹实际上就是打开了“S.”?不错事实就是这样。其实如果你再创建一个“S”文件夹的话“S.”就能打开了,但是实际上打开的是“S”。
gototop
 
sapp
头像
初生襁褓狮
  • 帖子:13
  • 注册: 2006-09-17
  • 来自:
发表于: 2007-06-15 02:42 | 显示全部 短消息 资料
字号: 5楼

“我该怎么删除它呢?”,删除它也不算很难,但是常规的方法是绝对删不掉的。有两种方法可供选择:1、进入DOS删除(不推荐)。2、还是进入命令提示符然后输入“rmdir 目录名”,目录名就是你创建的时候的名字,如果忘记了可以先在资源管理器查看,然后加上“.\”。如果提示“文件夹不是空的”应该加上“/s”参数。删除实例:
  Microsoft Windows XP [版本 5.1.2600]
(C) 版权所有 1985-2001 Microsoft Corp.
F:\Test>dir
驱动器 F 中的卷是 BGTING
卷的序列号是 2C8E-FE1C

F:\Test 的目录

2003-09-11 17:50  <DIR>      .
2003-09-11 17:50  <DIR>      ..
2003-09-11 18:35  <DIR>      s.
2003-09-11 18:37  <DIR>      s..
          1 个文件        9 字节
          5 个目录 3,390,029,824 可用字节

F:\Test>rmdir s..\
目录不是空的。

F:\Test>rmdir s..\ /s
s..\, 是否确认(Y/N)? y

F:\Test>rmdir s...\ /s
s...\, 是否确认(Y/N)? y



  利用这个漏洞我们可以做很多事情,比如想访问“S”文件夹,但是没有权限的时候我们可以创建“S..\”来指向“S”这样就可以跨权限浏览。而且新一代的木马程序很可能利用此漏洞把自身藏在某个“X..\”目录下这样用户根本不可能发现他,就算专业级的杀毒软件也只会去杀“X”而跳过“X..\”。如果恶意程序在机的计算机上创建很多“..\”文件夹的话,那个时候Fotmat也许是最好的选择了。

  1.在Windows中创建“X..\”文件夹后该文件夹将无法通过常规方法删除,但是却可以Copy文件进去,在资源管理器显示为“X.”,错误的指向“X”文件夹。(嘿嘿,怎么有点像快捷方式?)

  2.创建“X..\”的方法是在命令行输入“mkdir X..\”。

  3.删除它的方法是在命令行输入“rmdir 目录名”,目录名就是你创建的时候的名字,如果忘记了可以先在资源管理器查看,然后加上“.\”。如果提示“文件夹不是空的”应该加上“/s”参数。
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT