快捷導航

Auto Autorun.inf desktop.ini sxs.exe auto.exe類病毒的手動處理完全技巧

更新時間：2007年11月27日 09:53:28 作者：

特整理一篇Auto Autorun.inf desktop.ini sxs.exe auto.exe類病毒的手動處理完全技巧，大家可以看圖片設(shè)置的方法，讓Auto Autorun.inf desktop.ini sxs.exe auto.exe類病毒無處遁形

最近多發(fā)的一個病毒，表現(xiàn)為:

1、在每個分區(qū)下都會有三個文件，屬性為隱藏，文件名分別為:Autorun.inf，Desktop.in，sxs.exe，其中EXE文件是病毒文件！

2、不能雙擊打開分區(qū)，如D盤，雙擊后會出現(xiàn)一個打開方式選擇提示！

3、右鍵菜單里有一個Auto項，沒辦法清理掉。

4、“顯示所有文件和文件夾”選項不能被選中，（這是最嚴重的一種情況了）。

網(wǎng)上已經(jīng)有相關(guān)的資料（附后），但是有的比較麻煩，有的又不能真正的有用，這里給出一個個人常用的手工處理辦法，以供大家參考。

如果你的系統(tǒng)只有以上四種情況中的一兩種，那處理比較容易。

1、進入安全模式，進入后一定不要雙擊任何一個盤，而是使用右鍵或者資源管理器的左邊單擊法打開。進入文件夾選項，如下圖:

2、打開（一定不要雙擊）C:盤、D:盤等，看看里面是不是有上述的三個文件或者有其中的一兩個，如果有，刪除它，（一定不要雙擊到其中的任何一個文件，不然病毒馬上執(zhí)行。

3、如果沒有，那么，再次打開上圖的對話框，看看選項是不是還和上圖一樣，如果不一樣了，又變回了下圖這樣，那么，當前病毒已經(jīng)在運行了。轉(zhuǎn)入4處理。

4、如果病毒已經(jīng)在運行中，那么我們只能強行結(jié)束病毒進程，才可以修改以上位置，強行結(jié)束病毒進行的方法很多，以下引用一個方法。

=============結(jié)束病毒進程的辦法一=====================

很多人發(fā)現(xiàn)自己的計算機有病毒時,直接刪除,是刪除不了的，因為病毒在運行,所以沒辦法.
    很多人喜歡使用第三方工具來結(jié)束病毒進程然后進行查殺,其實本人不太贊成老是依賴第三方工具的，因為這畢竟是人家做出來的東西，自己只會用，永遠不知道它的原理,那么，自己永遠只是菜鳥一只.

    這里教大家不使用第三方工具結(jié)束進程的兩個辦法.

    第一:這個辦法在XP下用過,比方說，我們要結(jié)束 aaa.exe 這個進程, 那么依次按開始/運行/輸入cmd,在命令提示符下,輸入 taskkill /im aaa.exe ,那么,就可以強行殺死這個進程了

    第二:上面這些方法，對部分病毒有效,可是對一些更多的"老頑固",有可能就沒辦法了.這個時候,win 2000 以上系統(tǒng)的內(nèi)置命令 ntsd ,來強行殺死一切病毒進程,因為該命令除了 system  smss.exe  csrss.exe  不能結(jié)束以外，其他基本可以的
    輸入三鍵：ALT + CTRL +　DELETE ，進入windows任務(wù)管理器里，在任務(wù)管理器上面的菜單中點＂查看＂，將＂pid＂選項選中．點確定，然后選擇 "進程" , 你就可以看到病毒進程的＂pid＂號了．

    比如病毒的"pid"是 123 ,接著，在剛才講的命令提示符下，輸入" ntsd -c q -p 123 " 來結(jié)束這個病毒進程.
    假如大家想看 ntsd 的參數(shù)有什么用(只要你有耐性,加上你的英語過6級),那么輸入 ntsd /?  即可

    至于有些病毒隱藏了自身的進程，不好意思，本人能力有限,所以到現(xiàn)在為止,本人都是使用第三方工具查看隱藏進程的,所以對這方面自認還是菜鳥一只,請多包涵!

====================結(jié)束病毒進程的方法完===============

還有其它的方法，比如用一些軟件，如優(yōu)化大師，360安全衛(wèi)士等，這里不再累述。結(jié)束了病毒進程（如果你不知道哪個是病毒進程，那么把非系統(tǒng)進程全部結(jié)束就好了，關(guān)于哪些是系統(tǒng)進程，后就重復第2步。

5、這時你應(yīng)該在盤里可以看到上述的三個文件了，刪除它們吧，強行刪除。

6、選擇搜索，查找desktop.ini文件，你會發(fā)現(xiàn)在每個文件夾里都有一個這樣的文件，一共可能有幾千個，按下Shift+Del強行刪除，沒事的，不會出什么問題，就算是C盤里的也沒事！

7、刪除后，重啟計算機，再看看能不能正常使用了，有時這樣處理后仍然不行，有時右鍵菜單里還是有那個Auto，如果是這樣，那么你的系統(tǒng)應(yīng)該是中了一些比較麻煩的變種，處理方法可以參考以下的網(wǎng)文，但是都要修改注冊表什么的，如果是我，我就不去管它了，GHOST吧，30分鐘就搞定的事沒必要花更多時間去一步步處理。（推薦使用電腦公司6.0GHOST版，著實好用，鳴謝）

8、重裝或者GHOST后，其實C盤之外的病毒還是在的，不會自動消亡，但是，系統(tǒng)是干凈的了，這時再從第一步處理著來，一定要從第一步來過，再次強調(diào)，一定不要雙擊任何盤符，否則前功盡棄！又要重裝一次了。

好了，這樣處理后，你的系統(tǒng)里的關(guān)于這個病毒的問題一般就可以解決了，如果是其它病毒，再用其它辦法來處理。建議安裝好系統(tǒng)，清理完上述病毒后，安裝一個可以升級的殺毒軟件，進行一下全盤掃描，推薦使用卡巴，不過這幾天由于海底光纜被地震破壞和卡巴斯基官方在打擊盜版，卡巴可能升級不了。（卡巴斯基的安裝，請上www.360safe.com下載安裝安全衛(wèi)士后下載并激活，就可以升級了相當于正版，當然瑞星或者其它殺毒軟件也不錯，根據(jù)你的需要吧。掃描完成后，安裝軟件，完了最好使用GHOST備份一下系統(tǒng)，備份后以后如果有問題就可以快速恢復了，當然你必須要有一張工具光盤，建議使用上文中提到的GHOST　XP電腦公司版，如果你找不到，可以和我聯(lián)系，QQ:24560974，我?guī)湍阏遥?/FONT>

好了，好好享用你的系統(tǒng)吧！

===========以下是網(wǎng)上找到的有關(guān)這個病毒的處理辦法，參考============

Worm.Viking.m
該病毒為Windows平臺下集成可執(zhí)行文件感染、網(wǎng)絡(luò)感染、下載網(wǎng)絡(luò)木馬或其它病毒的復合型病毒，病毒運行后將自身偽裝成系統(tǒng)正常文件，以迷惑用戶，通過修改注冊表項使病毒開機時可以自動運行，同時病毒通過線程注入技術(shù)繞過防火墻的監(jiān)視，連接到病毒作者指定的網(wǎng)站下載特定的木馬或其它病毒，同時病毒運行后枚舉內(nèi)網(wǎng)的所有可用共享，并嘗試通過弱口令方式連接感染目標計算機。
運行過程過感染用戶機器上的可執(zhí)行文件，造成用戶機器運行速度變慢，破壞用戶機器的可執(zhí)行文件，給用戶安全性構(gòu)成危害。
病毒主要通過共享目錄、文件捆綁、運行被感染病毒的程序、可帶病毒的郵件附件等方式進行傳播。

1、病毒運行后將自身復制到Windows文件夾下,文件名為:
%SystemRoot%\rundl132.exe

2、運行被感染的文件后，病毒將病毒體復制到為以下文件:
%SystemRoot%\logo_1.exe

3、同時病毒會在病毒文件夾下生成:
病毒目錄\vdll.dll

4、病毒從Z盤開始向前搜索所有可用分區(qū)中的exe文件，然后感染所有大小27kb-10mb的可執(zhí)行文件，感染完畢在被感染的文件夾中生成:
_desktop.ini (文件屬性:系統(tǒng)、隱藏。)

5、病毒會嘗試修改%SysRoot%\system32\drivers\etc\hosts文件。

6、病毒通過添加如下注冊表項實現(xiàn)病毒開機自動運行:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="C:\\WINNT\\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\\WINNT\\rundl132.exe"

7、病毒運行時嘗試查找窗體名為:"RavMonClass"的程序，查找到窗體后發(fā)送消息關(guān)閉該程序。

8、枚舉以下殺毒軟件進程名，查找到后終止其進程:
Ravmon.exe
Eghost.exe
Mailmon.exe
KAVPFW.EXE
IPARMOR.EXE
Ravmond.exe

9、同時病毒嘗試利用以下命令終止相關(guān)殺病毒軟件：
net stop "Kingsoft AntiVirus Service"

10、發(fā)送ICMP探測數(shù)據(jù)"Hello,World"，判斷網(wǎng)絡(luò)狀態(tài)，網(wǎng)絡(luò)可用時，
枚舉內(nèi)網(wǎng)所有共享主機，并嘗試用弱口令連接\\IPC$、\admin$等共享目錄，連接成功后進行網(wǎng)絡(luò)感染。

11、感染用戶機器上的exe文件，但不感染以下文件夾中的文件:
system
system32
windows
Documents and settings
system Volume Information
Recycled
winnt
Program Files
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gaming Zone

12、枚舉系統(tǒng)進程，嘗試將病毒dll(vdll.dll)選擇性注入以下進程名對應(yīng)的進程:
Explorer
Iexplore
找到符合條件的進程后隨機注入以上兩個進程中的其中一個。

13、當外網(wǎng)可用時，被注入的dll文件嘗試連接以下網(wǎng)站下載并運行相關(guān)程序:
http://www.17**.com/gua/zt.txt 保存為:c:\1.txt
http://www.17**.com/gua/wow.txt 保存為:c:\1.txt
http://www.17**.com/gua/mx.txt 保存為:c:\1.txt

http://www.17**.com/gua/zt.exe 保存為:%SystemRoot%\0Sy.exe
http://www.17**.com/gua/wow.exe 保存為:%SystemRoot%\1Sy.exe
http://www.17**.com/gua/mx.exe 保存為:%SystemRoot%\2Sy.exe
注：三個程序都為木馬程序

14、病毒會將下載后的"1.txt"的內(nèi)容添加到以下相關(guān)注冊表項：

[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
"auto"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]
"ver_down0"="[boot loader]\\\\\\\\\\\\\\\\+++++++++++++++++++++++"
"ver_down1"="[boot loader]
timeout=30
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" ////"
"ver_down2"="default=multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" /////"
“維金”病毒五大罪狀
第一罪:感染系統(tǒng)文件
造成系統(tǒng)損壞，且手動清除困難；
第二罪:下載惡性木馬
盜取魔獸、傳奇帳號，灰鴿子開后門使系統(tǒng)完全受黑客控制，QQRobber病毒等；
第三罪: 多路網(wǎng)絡(luò)傳播方式
通過感染文件、局域網(wǎng)共享來傳播；
第四罪: 強制禁用國內(nèi)知名反病毒軟件
降低性安全性，易感染其它病毒；
第五罪: 變種多
數(shù)日內(nèi)，已出現(xiàn)多個變種

前幾天還在電腦公司上班的時候，發(fā)現(xiàn)有相當數(shù)量的顧客的硬盤一般除了C盤外，雙擊盤符無法打開，對于個人普通用戶這種簡單問題自然也要找人了!點擊鼠標右鍵發(fā)現(xiàn)第一項并非是打開，而是一個什么AUTO之類的東西。不用說自然是中招了，一般來講電腦公司習慣于裝系統(tǒng)了事，簡單嗎，在電腦公司來三五天的人都能做到。不過具我們公司的技術(shù)學員和客戶反應(yīng)重新裝系統(tǒng)之后(萬能克隆幾分鐘就搞定了)，無法解決問題!本人只好來手工解決!

殺馬當然要看進程和顯示隱藏文件及擴展名，不過病毒竟然在這里動了手腳。在文件夾選項中“隱藏文件和文件夾“⒈不顯示隱藏的文件和文件夾 ⒉顯示所有文件和文件夾的地方選擇”顯示所有文件與文件夾“之后無法顯示，點擊應(yīng)用確定后依然如故，重新打開發(fā)現(xiàn)自動又變了回去。幸好以前在哪里看到過超級隱藏之類的東西，本人還保存了那個顯示隱藏文件和文件夾的注冊表文件!

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001

打開注冊表，找到以上注冊表項。發(fā)現(xiàn)checkvalue設(shè)置成了0?？凑ｋ娔X為1，自然改成1再說。再一次設(shè)置文件夾選項，顯示所有文件夾，恢復正常。發(fā)現(xiàn)每個分區(qū)下都有幾個隱藏文件，怪不得重裝系統(tǒng)也沒有用，而且連瑞星殺毒軟件都無法安裝!結(jié)束相關(guān)進程，把所有相關(guān)文件刪除，右鍵恢復正常!原來是病毒文件搞的鬼，而且設(shè)置了系統(tǒng)，使用戶無法顯示隱藏的文件自然就看不到它自己，真是無孔不入!刪除后安裝殺毒軟件一切正常也沒有其他問題!問題雖然相當簡單，但那幾天有相當一部分客戶拿來維修都是完全一樣的問題，也不知道是不是新出現(xiàn)的什么東西!雖然對于搞電腦的人是最入門級的東西，但對普通用戶也不是簡單的問題!

事后研究了一下，最近無事，想想BLOG也沒什么可寫，貼在此處以供新手查詢，高手勿笑!

1 在注冊表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]
下有兩項：NOHIDDEN與SHOWALL，有人說是三項(98吧)，不過我自己的電腦只有此兩項。NOHIDDEN自然是不顯示隱藏文件，SHOWALL是顯示所有文件。在兩項下都有CheckedValue，DefaultValue值!
上例即是更改了相關(guān)的注冊表鍵值[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
的"CheckedValue"，
系統(tǒng)默認"CheckedValue"=dword:00000001，"DefaultValue"=dword:00000002，如果將CheckedValue設(shè)置為0就會造成無法更改顯示所有隱藏文件!正常情況可以將文件夾及文件屬性設(shè)成隱藏，但具有初級知識的用戶都知道去更改以顯示隱藏文件，通過手工修改注冊表，將showall下的checkdvalue設(shè)置為0防止普通用戶查看，對于老鳥自然無任何用處!
2 將顯示所有隱藏文件設(shè)為文件夾選項的默認值!至于DefaultValue值自然是默認值，我沒有在微軟查到此處具體每個值的含義，不過可以設(shè)置肯定會有1,2或者也有0。如果將[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]的"DefaultValue"設(shè)為1應(yīng)該是使其成為默認，你會發(fā)現(xiàn)在查看中選項恢復默認值的時候，兩項都被選中了。如果想將顯示所有隱藏文件設(shè)為默認值可以將NOHIDDEN的DefaultValue設(shè)為1而將SHOWALL的DefaultValue也設(shè)為1!這樣默認就是顯示所有的隱藏文件!大家可以自己更改一下看一下具體效果。
3 總之遇到類似的問題大家可以看一下這里有沒有被動過手腳!望路過注冊表高手留下每一個值的詳細設(shè)置!
4 網(wǎng)上看到的：更絕的是，利用注冊表編輯器，我們可以將“查看”選項卡中的“隱藏文件”項下的三個單選按鈕都隱藏掉。我們只需將上述“Hidden”下 “NOHIDDEN”、“NOHIDORSYS”、“SHOWALL”三個分支中的“Text”字符串鍵(注：Windows XP中該鍵的鍵值不同)的健值清除掉。這樣，退出注冊表編輯器后再進入“查看”選項卡，你就會發(fā)現(xiàn)“隱藏文件和文件夾”下面空空如也。任何人想要查看我們的個人文件就都是兩個字——沒門，因為這個地方根本沒法選擇！(將Hidden與NOHIDDEN兩項刪除，就什么都沒有了，哈哈)

附：文件夾選項默認值：(XP系統(tǒng)，可以將以下文本保存為注冊表文件導入注冊表，以修復相關(guān)問題)

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]
"Text"="@shell32.dll,-30499"
"Type"="group"
"Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,\
48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,\
00
"HelpID"="shell.hlp#51131"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

2006-11-08 日補充：

　　昨天在網(wǎng)吧又遇到這個情況，以前沒有寫這個，在每個盤符下有一個autorun.ini文件和sxs.exe文件，造成每個盤右鍵菜單第一項為AUTO，在網(wǎng)上沒有查到相關(guān)資料，不過以前寫這篇文章的時候，也是這個文件，不過似乎又有變化了，在任務(wù)管理器里看不到它的進程，刪除之后馬上恢復，在c:\windows\system32下有ourfns.exe文件及一個相關(guān)DLL（忘記了），在注冊表里有這個執(zhí)行文件的啟動項，windows的任務(wù)管理器里看不到這個進程，以至無法刪除，建議用冰刃結(jié)束進程再進行相關(guān)操作！

D盤和E盤無法雙擊打開了,右鍵菜單里面的第一個是Auto并且是黑色的.是什么原因,但是C盤可以雙擊打開.2006-12-26 00:02中了落雪病毒。其解決方法是：

一、進入安全模式，運行“regedit”，查找autorun.exe所有的鍵值項并給予刪除。按F3繼續(xù)查找，直到?jīng)]有為止。
二、重啟后在硬盤中進行搜索autorun.exe，并全部刪除。
三、按Ctrl+Alt+del，殺掉用戶名（PID)為當前用戶的autorun.exe進程。
四、運行msconfig,在啟動選項卡中取消對boot.exe前面小方框的勾選。