谁知道atouorun病毒怎么杀啊?有什么好的专杀工具吗?(好象名字错了~原谅)

发布网友 发布时间：2022-04-25 13:47

我来回答

共5个回答

热心网友 时间：2023-10-03 18:17

这个病毒具有“帕虫”或称“AV终结者”的某些特征，试图终止正在运行的杀毒软件进程，映像劫持大多数的杀毒软件、防火墙及手工杀毒的安全工具，在系统盘外的其它盘生成autotun.inf及安装文件。
同时，该病毒下载如下木马和广告软件——
Trojan.Win32.Agent.pow
Adware.Win32.CPush.g
Adware.Win32.CPush.e
Adware.Win32.Dodolook.b
Adware.Win32.Agent.num

该木马群成功感染后所有杀毒软件被禁止或劫持，桌面（或称Window Shell）explorer.exe被注入和劫持，某些情下安全模式被破坏。所以，完全清除对具有一定的难度，需要一点耐心、信心和电脑操作熟练度。

解决办法：
1、准备工具IceSword和SREng，下载地址：
System Repaire Engineer(SRE)
下载：http://www.kztechs.com/sreng/download.html
使用方法：http://www.kztechs.com/sreng/help2/
冰刃(IceSword)1.20
http://www.ttian.net/website/2005/0829/391.html

2、由于这两个工具被映像劫持了，将它们解压后，运行时先将可执行文件IceSword.exe和SREngPS.exe改为随便一个其它的名字，比如“1234.exe”运行。由于各盘被释放了autorun.inf，清理过程中注意不要双击或点右键打开任何盘。运行工具软件从开始菜单运行。

3、运行IceSword，在“文件”菜单点“设置”，勾“禁止进线程创建”，点“确认”，然后在进程列表中删除“eqrdrnr.exe”和“websr.exe”。然后再允许进线程创建。
在文件列表中，找到下列文件，并强制删除：
C:\Program Files\Common Files\Microsoft Shared\websr.exe
C:\Program Files\Common Files\System\eqrdrnr.exe
d:\autorun.inf
e:\autorun.inf
f:\autorun.inf
d:\txwslhg.exe
e:\txwslhg.exe
f:\txwslhg.exe

3、运行SREng，在“系统修复/高级”中，修复安全模式；在“启动项目/注册表”中，删除所有红色的IFEO项目，删除“eqrdrnr.exe”和“websr.exe”的启动项目。

4、参照Trojan.Win32.Agent.pow的处理办法删除对explorer.exe的注入（结束explore.exe进程，删除那些注入的文件，然后重启explore.exe）：
http://hi.baidu.com/sanluxia/blog/item/977959f7e7f93720730eec6d.html

5、现在杀毒软件应该可以运行了，启动运行并升级。然后重新启动，到安全模式，用你的杀毒软件扫描全部硬盘。

补充说明:
由于木马群的相互作用，以及杀毒软件可能在其中做了部分清除工作，各中毒机器的具体情况可能与上述情况并不完全一样。网友们可以将上述解决办法作为一个解决问题的思路参考。

关于“AV终结者”或“帕虫”的详细资料，参见如下：

http://forum.ikaka.com/topic.asp?board=28&artid=8322881
http://hi.baidu.com/newcenturysun/blog/item/2ad3d7cedcea3c0292457e2c.html
http://forum.ikaka.com/topic.asp?board=28&artid=8315857

Author: Sanluxia
Aug. 10, 2007
Blog: http://hi.baidu.com/sanluxia/blog
This document is written by Sanluxia, all rights reserved. You may copy it to other place, but you must reserve this copyright information.

参考资料：转载http://zhidao.baidu.com/question/34280413.html

热心网友 时间：2023-10-03 18:17

计算机的盘符根目录中发现名为runauto..的一个隐藏文件夹，在安全模式下也无法删除，用AUTO专杀工具无法查找到。
l 打开“运行”，敲入cmd、regedit、regedit32、msconfig均无法找到该程序，并提示“windows 找不到文件‘***’，请确定文件名是否正确后再试一次。”但system32中存在cmd.exe,regedit.exe,regedit32.exe文件，但执行时报找不到该程序错误。
l 任务管理器的进程列表里有两个lsass.exe，且都不能结束。
l windows目录下有lsass.exe和setuprs.pif,且都不能删除。

解决方案：
1. 进入windows\system32目录，将cmd改名，双击执行。
2. 输入：rmdir d:\runauto.. /q /s ，将该目录删除。
C:\rd /s/q runauto...\
D:\rd /s/q runauto...\
同理，处理各盘符中的runauto..文件夹。
3. 将system32的regedit 改名并执行，将
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
下面的cmd.exe,regedit.exe,regedit32.exe和msconfig.exe项直接删除。（键值下包含debug=setuprs1.pif键值）。
4. 利用auto查杀工具，将AUTO病毒查杀干净后，将更改的cmd及regdit的恢复成正常文件名。

热心网友 时间：2023-10-03 18:18

autorun是U盘的常见病毒，可以用usb killer查杀。

热心网友 时间：2023-10-03 18:18

你可以到网上下载一个USBkiller杀一下，然后重启一下就好了。

热心网友 时间：2023-10-03 18:19

用360安全卫士也可以.
http://www.360.cn/