微点交流论坛 - 反病毒 - 如何手动删除autorun病毒

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 反病毒 » 如何手动删除autorun病毒

青豆
高级用户

超级发动机

积分 523
发帖 489
注册 2006-9-28
来自汹涌澎湃浮沉混沌湍流

#1 如何手动删除autorun病毒

该病毒准确来说是tel.xls.exe及autorun.inf病毒
典型的症状如下：
无非显示隐藏文件、系统变慢、CPU经常100％、打开硬盘分区时提示用什么程序打开、硬盘分区右键有Autorun等字样....]
注意：在以下整个过程中不要双击硬盘分区，需要打开时用鼠标右键—>打开

一、关闭病毒进程
Ctrl + Alt + Del 任务管理器，在应用程序里面查找类似kill等你不认识 [任务栏不显示] 的任务，右键—>转到进程，找到类似 [SVOHOST.exe]（但不是SVCHOST，相差一个字母）的进程，右键—>结束进程树
补充：也可能就是svchost.exe，但是如果是C:\windows\svchost.exe则可以结束，而不是结束c:\windows\system32\svchost.exe的进程，可以用冰刃来查看进程。

二、显示出被隐藏的系统文件
开始—>运行—>regedit
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL，将CheckedValue键值修改为1
这里要注意，病毒会把本来有效的 [DWORD] 值CheckedValue删除掉，新建了一个无效的字符串值 [REG_SZ] CheckedValue，并且把键值改为0！我们将这个改为1是毫无作用的。（有部分病毒变种会直接把这个CheckedValue给删掉，只需和下面一样，自己再重新建一个就可以了）
方法：删除此CheckedValue键值，单击右键新建—>Dword值—>命名为CheckedValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”和“显示系统文件”。
在文件夹—>工具栏—>工具—>文件夹选项，将系统文件隐藏文件和文件后缀名设置为显示

三、删除病毒
在分区盘上单击鼠标右键—>打开，看到每个盘跟目录下有 autorun.inf 和 tel.xls.exe 两个文件，将其删除。U盘同样，下面的系统里面有说U盘的，看完再说！

四、删除病毒的自动运行项
开始—>运行—>msconfig—>启动—>，删除类似sacksa.exe之类的不认识的项，保留项为[杀毒程序、ctfmon、摄像头、防火墙]，注意vsnpstd3.exe为摄像头的运行程序，保留之。
或者打开注册表运行—>regedit，HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
删除类似C:\WINDOWS\system32\SVOHOST.exe 的项

五、删除遗留文件
C:\WINDOWS\ 跟 C:\WINDOWS\system32\ 目录下删除 SVOHOST.exe[注意系统有一个类似文件，图标怪异的那个类似excel的图标的是病毒] session.exe、sacaka.exe、SocksA.exe以及所有excel类似图标的文件，每个文件夹两个，不要误删哦，自己注意.

重启电脑后，基本可以了。

※ ※ ※ 本文纯属【青豆】个人意见，与【微点交流论坛】立场无关※ ※ ※

积极主动！

2006-11-12 18:18

mingddt
新手上路

积分 23
发帖 23
注册 2006-12-29
来自陕西省汉中市汉台区

#2

切..~

※ ※ ※ 本文纯属【mingddt】个人意见，与【微点交流论坛】立场无关※ ※ ※

2006-12-29 23:36

反黑先锋
版主

RUNWAY

积分 2901
发帖 2857
注册 2006-6-17

多谢楼主分享　我来学习下。

※ ※ ※ 本文纯属【反黑先锋】个人意见，与【微点交流论坛】立场无关※ ※ ※

荣先祥藏头诗《赞东方微点》
东风欣传好消息
方策独步世所稀
微妙玄机嵌主动
点睛灭毒堪神笔

2006-12-29 23:38

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号