auto run 清除

       关于runauto..的手工清除方法

此病毒据传是灰鸽子的一种，中毒后的表现就是在每个磁盘下面都会有名为runauto..的隐藏文件夹存在。主要是通过U盘传播，现在非常泛滥，并且很多杀软还没有关于它的杀毒方法。 经测试后提供手动杀除方法如下（请一定按照步骤顺序操作，切忌！！！）： 1、运行regedit打开注册表。 2、在控制面板中找到服务管理工具打开服务列表。暂时不对服务进行操作。 3、运行IceSword.exe，在 “文件” - “设置” 中选中“禁止线程创建”。选中后确定。（附件中有此工具）然后在IceSword.exe的进程列表中如果找到路径为C:\windows\lsass.exe的进程 lsass.exe 。右键点击结束此进程。 （确保进程列表中只有一个lsass.exe,路径为c:\windows\system32）。    不关闭 IceSword.exe进行下面操作。 4、在服务列表中找到Kerberos Key Distribution Centers 服务并停止它。 5、在注册表中清除如下健值：[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\]中的cmd.exe、msconfig.exe、regedit.exe、regedt32.exe项。 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\]中的kkdc项 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]中的"C:\\WINDOWS\\lsass.exe"="C:\\INDOWS\\lsass.exe:*:Enabled:lsass.exe" 查看[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\]中是否存在kkdc项，如存在删除kkdc项。 查看[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\ AuthorizedApplications\List]中是否有 "C:\\WINDOWS\\lsass.exe"="C:\\WINDOWS\\lsass.exe:*:Enabled:lsass.exe"， 如有则删除"C:\\WINDOWS\\lsass.exe"="C:\\WINDOWS\\lsass.exe:*:Enabled:lsass.exe"。 6、再次打开IceSword.exe “文件” - “设置” 把“禁止线程创建”前的对勾去掉。 7、我的电脑 - 工具 - 文件夹选项 - 查看 中“隐藏受保护的操作系统文件”前面的对勾去掉，并选中“显示所有文件和文件夹”，确定。 8、在C:\windows目录中找到lsass.exe、regedit.exe.exe、cmd.exe.exe、setuprs1.pif以及有病毒生成的文件这些文件有个特征是“没有图标”的后缀名为.exe的文件。（这些文件是由于在中毒后运行cmd.exe、regedit.exe、regedit32.exe、maconfig.exe时生成的文件，文件名一般为r.exe、r0.exe等。）找到即删除。注意清空回收站。 9、 在C盘（必须）根目录下新建一个文本文件，重命名为123.bat内容如下(作用是删runauto..等等垃圾，里面有停Kerberos服务的不写也可，假设你有C、D、E三个盘文件如下）： cd\ del /f/q/a autorun.* rd/s/q runauto...\ d: del /f/q/a autorun.* rd/s/q runauto...\ e: del /f/q/a autorun.* rd/s/q runauto...\ net stop kkdc sc stop kkdc sc delete kkdc del /f/q/a %systemroot%\cmd.exe.exe del /f /q/a %systemroot%\lsass.exe del /f/q/a %systemroot%\regedit.exe.exe del /f/q/a %systemroot%\setuprs1.pif 保存，退出。然后双击执行。 重启，一切OK！