• 手动清除auto.exe病毒的方法

  • 作者:Auto专杀    更新时间:2007-12-14 08:52:11
     

    转载请注明:U盘技术站http://www.autorun-inf.org Auto专杀-U盘病毒专杀-U盘数据恢复修复工具!

    点击下载->U盘超级工具大全(万能格式化-修复-量产-数据恢复等62种工具,一次搞定U盘问题
  • auto.exe病毒的分析与手动清除方法
     

    清除办法:
    1、结束病毒相关的进程;
    2、根据上面的分析删除所有病毒相关的文件,如果遇到不能删除的文件,则使用冰刃等强制删除软件进行删除;
    3、按照上面分析的注册表,一一删除;
    4、重新启动计算机,应该就无问题了。
    破坏方法:
    VB写的病毒,一旦运行,病毒将复制自己到如下目录<以win98为例,其它系统也在相应目录>:
    C:AUTORUN.INF
    C:WINDOWSAUTO.EXE
    C:AUTO.EXE
    C:PROGRAM FILESAUTO.EXE
    C:WINDOWSALL USERSDESKTOPSYSBOY.EXE
    C:WINDOWSALL USERSSTART MENUPROGRAMS启动AUTO.EXE
    C:WINDOWSDESKTOPSYSGRIL.EXE
    C:WINDOWSSTART MENUPROGRAMS启动AUTO.EXE
    修改注册表如下:
    HKLM\SoftwareMicrosoftWindowsCurrentVersion
    Run
    "%CURDIR%SYSBOY.exe"
    HKLM\SoftwareMicrosoftWindowsCurrentVersion
    RunExplorer
    "C:auto.exe"
    HKLM\SoftwareMicrosoftWindowsCurrentVersion
    RunServicesExplorer
    "%CURDIR%SYSBOY.exe"
    HKLM\SoftwareMicrosoftWindowsCurrentVersion
    RunServicesSystry
    "C:Program Filesauto.exe"
    HKLM\SoftwareMicrosoftWindowsCurrentVersion
    RunonceSystry
    "%CURDIR%SYSBOY.exe"
    HKLM\SoftwareMicrosoftWindowsCurrentVersion
    RunonceSystryt
    "D:auto.exe"
    HKLM\SoftwareMicrosoftWindowsCurrentVersion
    RunonceexSystryt
    "%CURDIR%SYSBOY.exe"
    HKLM\SoftwareMicrosoftWindowsCurrentVersion
    Runservicesoncerundll32
    "%CURDIR%SYSBOY.exe"
    HKLM\SoftwareMicrosoftWindowsCurrentVersion
    Runservicesoncerundll64
    "%CURDIR%SYSBOY.exe"
    HKCU\SOFTWAREMICROSOFTWINDOWSCURRENTVERSION
    POLICiESSYSTEMdisableregistrytools
    0x313131 -->禁止使用注册表工具
    HKLM\SOFTWAREMICROSOFTWINDOWSCURRENTVERSION
    POLICiESEXPLORERnofolderoptions
    0x313131 -->禁止打开文件夹选项
    HKCU\SoftwareMicrosoftWindowsCurrentVersion
    Policieswinoldappnorealmode
    0x313131 -->禁止进入实模式
    HKCU\SoftwareMicrosoftInternet Explorer
    Mainstart page
    " http://xxxwwwjjjhd.20forfree.com" -->修改IE默认页
    HKCU\SoftwareMicrosoftInternet Explorer
    Mainfirst home page
    " http://xxxwwwjjjhd.20forfree.com" -->修改IE默认页
    HKLM\SoftwareCLASSESDirectoryshell
    Winamp.Playfirst home page
    "用 Winamp 播放(&p)"
    HKLM\SoftwareCLASSESDirectoryshell
    Winamp.Playcommandfirst home page
    "C:WINDOWSauto.exe"
    HKLM\SoftwareCLASSESDirectoryshell
    Winamp.Enqueuefirst home page
    "加入 Winamp 队列(&E)"
    HKLM\SoftwareCLASSESDirectoryshell
    Winamp.Enqueue
    commandfirst home page
    "C:auto.exe"
    HKLM\SoftwareCLASSESDirectoryshell
    Winamp.Bookmarkfirst home page
    "添加到 Winamp 的书签清单中(&B)"
    HKLM\SoftwareCLASSESDirectoryshell
    Winamp.Bookmark
    commandfirst home page
    "D:auto.exe"

    HKCR\txtfileshellopencommandfirst home page
    "%CURDIR%SYSBOY.exe"
    HKCR\swffileshellopencommandfirst home page
    "C:auto.exe"
    HKCR\mp3fileshellopencommandfirst home page
    "D:auto.exe"
    HKCR\dllfileshellopencommandfirst home page
    "E:auto.exe"
    HKCR\htmfileshellopencommandfirst home page
    "%CURDIR%SYSBOY.exe"
    病毒也将自动连接网站:
    http://***xxxwwwjjjhd.20forfree.com。
    这是一种使用网络非法传播来骗钱的病毒,即所谓的“第四传媒”-->以病毒的形式散布网站信息,为自己作广告。
    病毒运行后将在系统的右下角显示一个圆形窗口,点击后将弹出矩形窗口,显示广告信息,如发现此病毒,建议使用防火墙禁止135端口。
        点击下载->U盘超级工具大全(万能格式化-修复-量产-数据恢复等62种工具,一次搞定U盘问题









网友评论
 
www.autorun-inf.org 沪ICP备08114337号 更多友情链接>>>