runauto病毒手工清理方法-信息与计算机安全-总务后勤-长沟中心校校园快讯

今日五侯中心校几位教师来我校察看固定资产工作，并拷贝了学校制度等电子文档，送走了几位老师，回来发现机器上多了几个莫名文件，主要是大小为0的名为runauto..的隐藏文件夹、以及autorun.inf文件，插上u盘即被感染，经网络搜索，查到解决办法，如下为网络发布的方法，经过参考分析，我通过用IceSword软件结束病毒进程，删除病毒文件，并从注册表中删除病毒启动项，从而杀死病毒，软件在网络u盘-杀毒专区下载。

选择“工具－系统进程”，选择lsass.exe，对应的路径应为“C:\WINDOWS\lsass.exe”。终止该lsass.exe进程，然后用WinRAR删除(在资源管理器下打开C盘容易造成二次感染，有时也可以右击盘符，在弹出的菜单中选择打开)以下文件：
C:\WINDOWS\lsass.exe
C:\autorun.inf.tmp
C:\autorun.inf
检查一下其它盘符的根目录，有的话同样删除autorun.inf.tmp，autorun.inf。
接着，清除病毒在注册表创建的两个动作：
HKLM\System\CurrentControlSet\Services\kkdc\\FailureActions
HKLM\System\CurrentControlSet\Services\kkdc\\Start
也就是删除kkdc这项。
以上就是手工清除病毒的过程。

不过，有一点值得注意，那就是不管你是用杀毒软件删除病毒的，还是纯手工清理的。有一个地方还得另外解决，就是每个盘根目录下的runauto..文件夹。在资源管理器下runauto..文件夹是删不掉的。cmd下,输入“rd /s runauto..\”，还是不行，为什么呢？
这里不作探讨，大家可以看一下《U..\ 无法正常访问的真正原因》。

解决的方法其实很简单，在cmd下（点击开始菜单－运行，输入cmd，点“确定”），输入：
cd \
rd /s runauto…\
注意：runauto后有3个“.”，提示输入“y”，按回车就行了。
同理删除其它盘符下的“runauto..”文件夹。DOS进入其它盘符cd X:（X为C，D，E，F等），这应该不用多说吧。
也可以用：
rd /s \\.\C:\runauto..\
其它盘符只要把其中的“C”换成相应的盘符（如D，E，F等）就可以了。