autorun系列U盘病毒杀除

最近利用U盘来传播的病毒，下载者好像越来越多了。今天同学的电脑中标了。让我去给他查杀，把我杀毒的过程大概写下。

中毒状况

1.（名字忘了，不过写什么都一样了。就是个木马或者下载者的服务端）

一般的autorun文件里面都应该有这么一句，
     [autorun]   
    
     open=NOTEPAD.EXE  

这里的NOTEPAD.EXE就是木马了。

2.杀毒软件不能安装

3.不能正常显示隐.藏文件。

因为没有上网，所以基本再没有是症状了。今天也主要是介绍我的清楚方法的，和症状没有多大的关系了。我们先跳过

查杀过程

因为是木马，都是会随机启动的。那么我们先来找他的启动项，一般的启动项有：

1.注册表启动
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
一般就这么两个地方了。

2.以系统服务方式启动
这个我们可以用系统配置实用程序很清楚的察看到哪几个服务不是系统自带的服务。然后排查。
在运行里输入msconfig ，回车，这样就.打开系统配置实用程序了。

我们把隐藏所有micorsoft服务勾上就可以察看到了。

还有很多启动的方法这里就介绍这么两个吧！！

现在开始正式查杀：

我们把注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
导出备份下保存为1.reg和2.reg

然后把
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
里的所有启动项全部删除。因为只有病.毒才会在这里再把他的启动项再次加进来。
然后我们察看病毒加进来的启动项，里面有病毒的路径和文件名。知道路径和文件名了。这样我们查杀就简单的过了。
我们可以通过任务管理器，或者命令tasklist
来察看现在系统里的进程
因为病毒一般都是有守护进程的。这里要注意了，如果再注册表里加入了两个启动项，我们就要把这两个进程同时结束才可以。

我们可以用冰刃同时把这两个进程都选上。也可以用micorsoft的命令ntsd -c q -p PID号来同时结束。
我这里使用ntsd -c q -p。
我们写一个批处理。
ntsd -c q -p PID1(第一个进程的PID号)
ntsd -c q -p PID2(第二个进程的PID号)
保存为1.bat。然后运行1.bat就可以了。

还有把我们备份的1.reg和2.reg里的病毒启.动项删除。再导入。这样就可以恢复以前的注册表了

还要记的把病毒文件的DEL了。
一般病毒文件都有系统和隐藏属性的。我们可以用

del （文件路径） /f /a /q /s

删除

要是以服务方式启动我们可以用SC命令来进行删除

命令格式如下：

sc delete （）服务名

然后把文.件给删掉

剩下就是打扫战场了。

我们还是用批处理

del c:\autorun.inf /f /a /q /s
del d:\autorun.inf /f /a /q /s
del e:\autorun.inf /f /a /q /s
del f:\autorun.inf /f /a /q /s

del c:\notepad.exe /f /a /q /s
del d:\notepad.exe /f /a /q /s
del e:\notepad.exe /f /a /q /s
del f:\notepad.exe /f /a /q /s

参数说明：
     /F               强制删.除只读文件。
     /S               从所有子目录删除指定文件。
     /Q               安静模式。删除全局通配符时，不要求确认。
     /A               根据属性选择要删除的文件。

这样就.可以把每个盘里的启动文件删除了

还有我们的隐藏文件不能显示

把下面的 代码拷入记事本中然后另存为1.reg文件
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

双击1.reg把这个注册表项导入

OK。。这样就可以很完美的把.病毒K了。然后就是安装杀毒软件。彻底把把系统扫描一遍就OK