runauto..灰鸽子病毒处理过程
一、首先确认你是否中招,调出“任务管理器”,如果发现有两个lsass.exe进程,则基 本可以确定你中招了。进程大的lsass是病毒不能结束,不要慌~~
二、进入C:\WINDOWS会发现四个异样的文件,cmd.exe.exe 、lsass.exe 、regedit.exe.exe 、setuprs1.pif 你删不掉他们,但是你把lsass.exe文件随便改个名字就行了,就可以把他们全部删除,注意:cmd.exe.exe 非 cmd.exe,
三、 再把“任务管理器”打开,结束病毒进程lsass.exe,病毒的进程就结束了,但是你会发现你的C/D/F盘都有个runauto..文件夹,你怎么删除都删不了,不要慌
四、打开注册表(regedit):
打开下面的项: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Image File Execution Options]
如存在如下项删除:
cmd.exe
cmd.com
msconfig.exe
msconfig.com
regedit.exe
regedit.com
regedt32.exe
关闭注册表。
五、在C盘(必须)根目录下新建一个文本文件,重命名为123.bat内容如下(作用是删runauto..等等垃圾,里面有停Kerberos服务的不写也可,假设你有C、D、F、H、I三个盘文件如下):
cd\
del /f/q/a autorun.*
rd/s/q runauto...\
d:
del /f/q/a autorun.*
rd/s/q runauto...\
f:
del /f/q/a autorun.*
rd/s/q runauto...\
H:
del /f/q/a autorun.*
rd/s/q runauto...\
I:
del /f/q/a autorun.*
rd/s/q runauto...\
net stop kkdc
sc stop kkdc
sc delete kkdc
del /f/q/a %systemroot%\cmd.exe.exe
del /f/q/a %systemroot%\lsass.exe
del /f/q/a %systemroot%\regedit.exe.exe
del /f/q/a %systemroot%\setuprs1.pif
保存,退出。然后双击执行。
六、病毒已经删除,但是如果你打开msconfig 会发现,在隐藏系统服务项目里面有个(Key...服务项忘了,自己看看陌生的项目),是不是很不爽啊,虽然病毒已经删除,但是它留下的服务还在那(虽然没有用,但是就是不爽),至于如何清除,请看:
系统配置实用程序里的已禁止的服务如何删除: http://ctfysj.blog.hexun.com/10357474_d.html