我来我网
https://5come5.cn
 
您尚未 登录  注册 | 菠菜 | 软件站 | 音乐站 | 邮箱1 | 邮箱2 | 风格选择 | 更多 » 
 

本页主题: runauto..、dllhost.exe、setuprs1.pif、autorun.pif的杀毒办法 显示签名 | 打印 | 加为IE收藏 | 收藏主题 | 上一主题 | 下一主题

百年孤独



性别: 帅哥 状态: 该用户目前不在线
头衔: 孤独是我的宿命
等级: 荣誉会员
家族: 考研俱乐部
发贴: 3774
威望: 3
浮云: 377
在线等级:
注册时间: 2006-10-14
最后登陆: 2011-03-03

5come5帮你背单词 [ coach /kəut/ n. 教练,(火车)客车车厢,长途公共汽车;训练,辅导,指导 ]


runauto..、dllhost.exe、setuprs1.pif、autorun.pif的杀毒办法

前几天论坛ID为“要爽由自己”的GG发了一个求助帖,反映病毒的问题……后来我在同学那里得到了病毒样本,研究了一下,写了个批处理。

使用方法:运行killvirus_step_1.bat,重启后运行killvirus_step_1.bat。若途中报告“接口错误”一类的东西,直接回车即可。

废话不说。见附件。
其中KillVirus.rar为杀毒文件。Virus.zip为病毒样本,供技术仔们做深层次研究。

本地测试环境:Windows 2003 Enterprise Edition。
测试结果:正常模式下运行病毒,重起,运行脚本,再重启,病毒已清理干净。如果哪位GG杀毒失败……那就多做善事,积累RP吧!

PS.卡巴斯基可杀此毒。未测其他杀毒软件。
描述:杀毒文件
附件: KillVirus.rar (1 K) 下载次数:62

描述:病毒样本
附件: virus.zip (382 K) 下载次数:22

本帖最近评分记录:
  • 浮云:5 (by X) | 理由: 原创内容...补上
  • 顶端 Posted: 2007-06-01 11:23 | [楼 主]
    ollo



    性别: 帅哥 状态: 该用户目前不在线
    头衔: ~~非言叶党~~
    等级: 人见人爱
    家族: 考研俱乐部
    发贴: 2676
    威望: 0
    浮云: 1130
    在线等级:
    注册时间: 2006-01-12
    最后登陆: 2012-01-12

    5come5帮你背单词 [ study /'stΛdi/ vt. 学习,读书,研究,探讨;vi. 读书,用功,求学;n. 学习,研究,探讨,书房 ]


    请教这条命令:ntsd -c q -pn dllhost.exe
    什么意思啊?
    这是杀进程吗
    其实这个病毒有个叫lsass专杀工具的东西可以杀
    也有个批处理网上,如吓:不过这两虽然穿着一个马甲,应该不是一个版本的,传说中的变种
    @echo off
    taskkill /fi "services eq kkdc" /f
    sc stop kkdc
    net stop kkdc
    sc delete kkdc
    attrib -s -h -r c:\windows\lsass.exe
    del c:\windows\lsass.exe /q
    attrib -s -h -r c:\autorun.inf
    attrib -s -h -r c:\autorun.pif
    del c:\autorun.pif
    del c:\autorun.inf
    attrib -s -h -r c:\autorun.inf.tmp
    del c:\autorun.inf.tmp
    reg delete "HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List" /v C:\WINDOWS\lsass.exe /f
    reg delete "HKLM\SYSTEM\ControlSet003\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List" /v C:\WINDOWS\lsass.exe /f
    reg delete "HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_KKDC" /f
    reg delete "HKLM\SYSTEM\ControlSet001\Services\kkdc" /f
    reg delete "HKLM\SYSTEM\ControlSet003\Services\kkdc" /f
    reg delete "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KKDC" /f
    reg delete "HKLM\SYSTEM\CurrentControlSet\Services\kkdc" /f
    reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe" /va /f
    reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe" /va /f
    reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe" /va /f
    reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedt32.exe" /va /f
    reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.com" /va /f
    reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.com" /va /f
    reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe.exe" /va /f
    reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.com" /va /f
    reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe" /va /f
    reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\adam.exe" /va /f
    reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\EGHOST.exe" /va /f
    reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.exe" /va /f
    reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iparmo.exe" /va /f
    reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kabaload.exe" /va /f
    reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KRegEx.exe" /va /f
    reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvDetect.exe" /va /f
    reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP.kxp" /va /f
    reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvXP.kxp" /va /f
    reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MagicSet.exe" /va /f
    reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmsk.exe" /va /f
    reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NOD32.exe" /va /f
    reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFW.exe" /va /f
    reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFWLiveUpdate.exe" /va /f
    reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQDoctor.exe" /va /f
    reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ras.exe" /va /f
    reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe" /va /f
    reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMon.exe" /va /f
    reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe" /va /f
    reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.com" /va /f
    reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedt32.com" /va /f
    reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\runiep.exe" /va /f
    reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SREng.exe" /va /f
    reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojDie.kxp" /va /f
    reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WoptiClean.exe" /va /f
    reg delete "HKLM\SYSTEM\ControlSet001\Services\kkdc" /va /f
    reg delete "HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List" /v %windir%\lsass.exe /f
    reg delete "HKLM\SYSTEM\CurrentControlSet\Services\kkdc" /va /f
    reg delete "HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List" /v %windir%\lsass.exe /f
    rem 去除属性
    attrib -s -h -r %windir%\cmd.exe.exe
    attrib -s -h -r %windir%\lsass.exe
    attrib -s -h -r %windir%\regedit.exe.exe
    attrib -s -h -r %windir%\setuprs1.pif
    attrib -s -h -r %windows%\dllhost.exe
    rem 删除文件
    del %windir%\cmd.exe.exe /q
    del %windir%\lsass.exe /q
    del %windir%\regedit.exe.exe /q
    del %windir%\setuprs1.pif /q
    del %windows%\dllhost.exe /q

    rem 特殊处理
    echo =============================================================== >>tmp.txt
    echo     您的c:\windows这个目录下以 r 开头的可执行文件如下所示 >>tmp.txt
    echo   请把你不能确定是不是病毒的文件名删除,最终留在这个文本文件 >>tmp.txt
    echo   里的文件名所对应的文件将被该程序删除,把你认为是病毒的文件 >>tmp.txt
    echo   名在这里删除之后,按Ctrl+S保存文本内容然后关闭该文本编辑器, >>tmp.txt
    echo   继续下面的操作。 >>tmp.txt
    echo   注意,在删除文件名时不要改变这些说明文字,否则可能出现错误。 >>tmp.txt
    echo =============================================================== >>tmp.txt
    for /f "tokens=1 delims= " %%j in ('dir %windir%\r*.exe /b /a') do echo %%j >>tmp.txt
    %windir%\system32\dllcache\notepad.exe tmp.txt
    for /f "tokens=1 skip=8 delims= " %%j in ('more tmp.txt') do attrib -s -h -r %windir%\%%j
    set /p danger=[确定要删除的文件是这些吗?按"回车键"开始删除这些文件,按"B"退出程序]
    if /i "%danger%"=="B" goto :exit
    for /f "tokens=1 skip=8 delims= " %%j in ('more tmp.txt') do del %windir%\%%j /q
    del tmp.txt /q
    rem 恢复文件
    copy %windir%\dllcache\regedit.exe %windir%\regedit.exe
    copy %windir%\dllcache\msconfig.exe %windir%\pchealth\helpctr\binaries\msconfig.exe
    for /D %%d in (d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\runauto...\nul attrib -s -h -r %%d:\runauto...\ /s /d
    for /D %%d in (d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\runauto...\nul rd %%d:\runauto...\ /s /q
    echo.
    echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
    echo.
    set /p over=   病毒清除完毕,请按回车键退出该程序。
    :exit
    exit
    顶端 Posted: 2007-06-01 13:21 | [1 楼]
    ollo



    性别: 帅哥 状态: 该用户目前不在线
    头衔: ~~非言叶党~~
    等级: 人见人爱
    家族: 考研俱乐部
    发贴: 2676
    威望: 0
    浮云: 1130
    在线等级:
    注册时间: 2006-01-12
    最后登陆: 2012-01-12

    5come5帮你背单词 [ perform /pə'fo:m/ v. 履行,完成,做,演出,表演 ]


    我以前是从那个充满了病毒的计算机学院机房传过来的
    貌似还会有cmd.exe.exe   和regedit.exe.exe 之类的东西
    记不清了,但是dllhost.exe是印象深刻了……
    顶端 Posted: 2007-06-01 13:25 | [2 楼]
    拒绝游泳的鱼





    金点子奖
    性别: 帅哥 状态: 该用户目前不在线
    头衔: Please be quiet & clam down
    等级: 资政组
    家族: 单身贵族
    发贴: 17119
    威望: 9
    浮云: 5545
    在线等级:
    注册时间: 2006-09-27
    最后登陆: 2008-06-30

    5come5帮你背单词 [ mast /ma:st/ n. 桅杆,杆,天线杆 ]


    LS的gg这么厉害哈,佩服一个哈
    不过后面的那些太长了哈
    顶端 Posted: 2007-06-01 15:24 | [3 楼]
    wind00



    性别: 帅哥 状态: 该用户目前不在线
    等级: 栋梁之材
    发贴: 601
    威望: 0
    浮云: 1105
    在线等级:
    注册时间: 2005-11-10
    最后登陆: 2009-05-08

    5come5帮你背单词 [ hardly /'ha:dli/ ad. 几乎不,简直不 ]


    LZ厉害
    顶端 Posted: 2007-06-01 17:17 | [4 楼]
    iceandman



    性别: 帅哥 状态: 该用户目前不在线
    头衔: 大补考啊
    等级: 人见人爱
    发贴: 3817
    威望: 0
    浮云: 1118
    在线等级:
    注册时间: 2006-02-19
    最后登陆: 2009-10-12

    5come5帮你背单词 [ arch /a:t/ n. 拱门,弓形结构 ]


    都很强啊,收藏 了
    顶端 Posted: 2007-06-01 17:47 | [5 楼]
    yshrike



    性别: 帅哥 状态: 该用户目前不在线
    头衔: 死在股市上了
    等级: 荣誉会员
    发贴: 32147
    威望: 3
    浮云: 0
    在线等级:
    注册时间: 2006-09-09
    最后登陆: 2012-06-23

    5come5帮你背单词 [ bias /'baiəs/ n. 偏见 ]


    偶中了LZ所说的runauto..病毒,但是运行cmd时,显示windows无法找到cmd文件
    5555请问LZ怎么才能修改回原来的路径,通过cmd运行LZ上传的那个东东...还请LS
    的蝈蝈们指点一下.....
    顶端 Posted: 2007-06-01 22:34 | [6 楼]
    ollo



    性别: 帅哥 状态: 该用户目前不在线
    头衔: ~~非言叶党~~
    等级: 人见人爱
    家族: 考研俱乐部
    发贴: 2676
    威望: 0
    浮云: 1130
    在线等级:
    注册时间: 2006-01-12
    最后登陆: 2012-01-12

    5come5帮你背单词 [ installation /instə'leiən/ n. 安装,安置,装置,设备 ]


    Quote:
    引用第6楼yshrike于2007-06-01 22:34发表的:
    偶中了LZ所说的runauto..病毒,但是运行cmd时,显示windows无法找到cmd文件
    5555请问LZ怎么才能修改回原来的路径,通过cmd运行LZ上传的那个东东...还请LS
    的蝈蝈们指点一下.....


    楼主去拷一个cmd放在system32下就行了啊
    实在不放心,把cmd.exe改为cmd.com再运行
    顶端 Posted: 2007-06-01 23:07 | [7 楼]
    我来我网·5come5 Forum » 电脑F.A.Q.

    Total 0.008509(s) query 5, Time now is:11-25 16:56, Gzip enabled
    Powered by PHPWind v5.3, Localized by 5come5 Tech Team, 黔ICP备16009856号