最近机器有个怪现象,打开“我的电脑”以后,无论双击哪个盘的图标,系统都会重新打开一个窗口,同时杀毒软件报告:regedit.exe程序试图修改注册表XXX键值,已被拦截。
然 后我打开硬盘各个分区,发现根目录下多出七个文件:autorun.bat autorun.vbs autorun.bin autorun.inf autorun.txt autorun.reg autorun.wsh,都是隐藏、系统、只读属性,打开任务管理器,只有一个wscript.exe在运行,机器速度也没有慢多少,不太像欢乐时光。
其中autorun.inf文件内容如下:
autorun风暴
[autorun]
open=
shell\open=打开(&O)
shell\open\Command=WScript.exe .\autorun.vbs
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=WScript.exe .\autorun.vbs
第一步,去注册表项目里把加载在注册表userinit后的autorun.exe给删了
然后停止wscript那个进程停止脚本调用
然后把各盘及system32里面的7个文件全部删掉
重新启动
这个是利用autorun.bat,autorun.vbs,autorun.reg进行扩展的木马
首 先你第一次双击硬盘图标时会首次加载autorun.bat,然后会调用reg文件对注册表中的开机初始进程userinit后面增加这个autorun 以保证其下次能够自启动,然后autorun.bat这个文件会开启windows中使用脚本的进程wscript以成功运行其autorun.vbs, 进而实现一个循环链,单纯删除文件都会被恢复
解决方法:
1、
@echo on
taskkill /im explorer.exe /f
taskkill /im wscript.exe
start reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersi /v ShowSuperHidden /t REG_DWORD /d 1 /f
start reg import kill.reg
del c:\autorun.* /f /q /as
del %SYSTEMROOT%\system32\autorun.* /f /q /as
del d:\autorun.* /f /q /as
del e:\autorun.* /f /q /as
del f:\autorun.* /f /q /as
del g:\autorun.* /f /q /as
del h:\autorun.* /f /q /as
del i:\autorun.* /f /q /as
del j:\autorun.* /f /q /as
del k:\autorun.* /f /q /as
del l:\autorun.* /f /q /as
start explorer.exe
2、
需要修改注册表
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
下 查找
autorun.vbs
把数值修改成explorer.exe %1 就可以打开硬盘了
提示 所有硬盘都要改
userinit
在注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下
xp的正确数值应该是c:\windows\system32\userinit.exe, 逗号别删
本文转自 lvcaolhx 51CTO博客,原文链接:http://blog.51cto.com/lvcaolhx/11461
![终端环境之tmux[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)