Search in uioop.blogspot.com

Labels

Blog Archive

Wednesday, October 17, 2007

清除autorun.inf

清除autorun.inf

这个小BAT程序,是我自己写的,对我的朋友们都很有帮助,现在在这里贴出来,大家一起分享。


你将下列代码复制到记事本中,然后另存为锁autorun.bat,然后再双击运行,就可以了!!
最好先反所有的U盘都先插上,不要开写保护,再运行,这样就可以更彻底地清除所有的病毒了!!

然后再把U盘拔出,再插上就正常了!

最好重启一下!

锁autorun.bat
==============开始,不要复制===================================
@echo off
title 锁autorun.inf Made By Jayven Edward %date%
FOR %%a IN ( C: D: E: F: G: H: I: J: K: L: M: N: O: P: Q: R: S: T: U: V: W: X: Y: Z: ) DO (
cls
if exist %%a (

del /f/q/a %%a\autorun.inf
del /f/q/a %%a\autorun.inf
md %%a\autorun.inf
md %%a\autorun.inf
md %%a\autorun.inf\JAYVEN..\
md %%a\autorun.inf\SOPHIA..\
echo [.ShellClassInfo]>%%a\autorun.inf\desktop.ini
echo CLSID={20D04FE0-3AEA-1069-A2D8-08002B30309D}>>%%a\autorun.inf\desktop.ini
echo InfoTip=此文件夹用来防治一些病毒,请不要试图删除它>>%%a\autorun.inf\desktop.ini
attrib +s +h +r %%a\autorun.inf\desktop.ini
attrib +s +h +r %%a\autorun.inf
)
)
regedit /s showall.reg
regedit /s showall.reg
cls
========================结束,不要复制==================
将下列代码复制到记事本中,另存为showall.reg,要和锁autorun.bat放在同一个文件夹中。
showall.reg
========================开始,不要复制==================
Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
"CheckedValue"=dword:00000001
========================结束,不要复制==================


首先需要重新装系统,格式化C盘,切记装完系统的第一次开机时不要直接进入正常系统。
1: 开机狂按F8进入安全模式
2: 进入后打开我的电脑,设置工具里面的文件夹选项,点击查看在高级设置里面的 《隐藏受保护的操作系统文件(推荐)》 前面的勾去掉,在选定《显示所有文件和文件夹》。 千万要记住不要双击每个盘符,在上面地址栏选定要打开的盘,在里面 找到
(1)system volume information 注: (文件夹)
(2)autorun.inf (系统配置文件)
(3)setup.exe (可执行文件) 有时可能是别的名称


3:在每个盘符下删掉以上三个文件~(记得没删完之前别双击其它盘,防止之前的操作失败).
4:清空回收站
5:重启下系统~搞定~
U盘的解决方法也一样~

=============================================================

杀毒软件杀不掉,现在基本解决,在安全模式下删除所有分区下的autorun.inf和Limit.exe文件,删除c:\windows下的 regedit.exe文件夹和MSCONFIG.EXE图标为批处理的一个可执行文件,删除c:\winedows\system32下的 cmd.exe文件夹、command.exe文件夹、taskmgr.exe文件夹,删除c:\windows\system32\dllcache下生成的cmd.com、cmd.exe、regedit.com、regedit.exe、command.com、command.exe文件夹,然后在启动项删除MSCONFIG.EXE
最后进入注册表,查找msconfig,删除c:\windows下的对应键值、查找Limit,删除所有可疑的对应键值和可疑项(一般都是 c:\Limit.exe、d:\Limit.exe等),查找删除Limit.exe生成的值:1:00-7:00(关机倒计时)。然后在DOS下把从其他地方拷贝来的cmd.exe、regedit.exe、taskmgr.exe、msconfig.exe用copy拷到c盘原来的位置,重新正常启动后发现系统恢复正常,一般会跳出windows修复程序来,光驱插入XPSP2的光碟后会自动修复。

================================================================

此程序对系统有破坏性质,症状如下:
1、双击分区盘符后弹出打开方式(此时已自动激活橙色八月类似文件(autorun.inf);
2、无法打开任务管理器、注册表、命令提示框、msconfig;
3、每个分区下自动创建具有只读、隐藏、存档属性的autorun.inf、Limit.exe
4、c:\windows下regedit.exe改写为具有隐藏、只读、存档属性的同名文件夹,c:\windows下msconfig.exe改写为
大写同名可执行程序,图标变为批处理图标
5、c:\windows\system32下cmd.exe、command.exe、taskmgr.exe分别改写为cmd.exe、cmd.com文件夹,com
mand.exe文件夹,taskmgr.exe文件夹
6、c:\windows\system32\dllcache下新建具有隐藏、存档、只读属性的cmd.exe、cmd.com、comman.exe、ta
skmgr.exe、regedit.exe文件夹
7、启动项新增空白项,键值为c:\windows\MSCONFIG.EXE
8、凌晨1点-7点十五分钟自动倒记时关机

解决方法:
1、重新启动电脑,进入安全模式.
2、进入文件夹选项,打开隐藏受保护的操作系统文件(推荐),打开显示所有文件和文件夹,显示扩展名,
3、删除每个盘符下的autorun.inf和Limit.exe文件
4、删除c:\windows下的regedit.exe文件夹和MSCONFIG.EXE文件,删除c:\windows\system32下的cmd.exe、cm
d.com文件夹,command.exe文件夹,taskmgr.exe文件夹,删除c:\windows\system32\dllcache下的cmd.exe、c
md.com、comman.exe、taskmgr.exe、regedit.exe文件夹
5、从好的系统中拷贝注册表文件regedit.exe、系统配置实用程序msconfig.exe、命令提示符cmd.exe、任务管
理器taskmgr.exe文件到中毒机器的相应位置
6、使用msconfig.exe删除启动项中的空白项MSCONFIG.EXE
7、使用regedit.exe查找MSCONG.EXE,删除HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRo
am\MUICache项下的c:\windows\msconfig.exe、c:\windows\system32\msconfig.exe键值
8、查找Limit.exe,删除相应的键值和项
9、查找值1:00-7:00,删除相应键值
10、重新启动电脑正常进入windows后恢复正常
参考资料:http://software.googpc.com/killvirus/20070609/130802.shtml

No comments:

AVG Internet Security 2013

Total Pageviews

Contributors