如果你电脑硬盘有autorun.inf文件，可能中毒了

今天我笔记本不能正常开机，进安全模式才发现 C、D盘根目录有 autorun.inf 和 rising.exe 文件，电脑中招了。

这是现在最普遍的 autorun.inf 病毒，如果经常用移动硬盘或U盘，就有可能感染电脑，并中毒。

如果双击电脑分区盘符，提示错误，无法打开，那也可能中招了。

大家小心。

[ Last edited by skyhood on 2007-4-8 at 00:11 ]

仔细在电脑里查了查，发现如下非法文件：

C:\Autorun.inf
C:\rising.exe
d:\Autorun.inf
d:\rising.exe

C:\Syswm1i\svchost.exe

C:\WINDOWS\msccrt.exe
C:\WINDOWS\mppds.exe
C:\WINDOWS\winform.exe
C:\WINDOWS\wsttrs.exe
C:\WINDOWS\cmdbcsg.exe
C:\WINDOWS\nortones.exe
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\notornr.exe

C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\cmdbcsg.dll
C:\WINDOWS\system32\msccrt.dll
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\system32\winform.dll
C:\WINDOWS\system32\wsttrs.dll
C:\WINDOWS\system32\NtDriver.sys
C:\WINDOWS\system32\4B857228.EXE
C:\WINDOWS\system32\msccrt.dll
C:\WINDOWS\system32\nwlpri.dll

太可恶了，瑞星都没任何提示。

直接删除上述文件!

[ Last edited by skyhood on 2007-4-7 at 23:54 ]

启动 regedit，对注册表一通修改，先用 ctrl+F 查找含有上述exe或dll文件的项，全部删除。

核查如下项：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]

删除多余的启动项目。

开始/运行  services.msc，看看有多少非法项目。

如果不明白项目含义，可用baidu查查是否合法，主要services有：

alg.exe是微软Windows操作系统自带的程序。它用于处理微软Windows网络连接共享和网络连接防火墙。这个程序对你系统的正常运行是非常重要的。

cftmon.exe是微软Microsoft Office套件的一部分，用于输入法相关。

lsass.exe是一个系统进程，用于微软Windows系统的安全机制。它用于本地安全和登陆策略。
注意：如果有2个lsass.exe进程，那就中木马了。

s24evmon.exe 是无线网卡配置和诊断程序

System Idle Process SYSTEM不是一个真正的进程，是核心虚拟出来的，多任务操作系统都有的！在没有可用的进程时，系统处于空运行状态，此时就是System Idle Process SYSTEM在运行！故它占用97%CPU时间，说明你的机器负荷很轻！你用WINZIP解压一个大的文件时，就可看到，System Idle Process SYSTEM占用CPU时间变化。

usnsvc.exe 是Messenger 上安装的启用共享情况的服务


可用工具 HijackThis 来修改启动项，小心别删错。

[ Last edited by skyhood on 2007-4-8 at 22:46 ]

关闭所有驱动器自动运行功能

http://www.54xsr.com/bbs/forum.php?mod=viewthread&tid=2569

也就是个小毒，U盘，MP3，之类的毒。不过常中招。清毒比较麻烦

Originally posted by 小黑 at 2007-4-8 14:33:
也就是个小毒，U盘，MP3，之类的毒。不过常中招。清毒比较麻烦

估计你还碰上大的，呵呵。