Windows\AUTO.BAT是什麼??

windows windows xp

kaoc 2009-02-13 10:04:03 ‧ 11596 瀏覽

分享至

我的EeePC 901的Windows目錄下有個AUTO.BAT, 這會是病毒嗎, 可以刪掉嗎?

檔案內容如下:
@echo off
cd /d %systemroot%
rd /s /q i386
rem cscript.exe sr.vbs 0
regedit /s run.reg
rem regedit /s 200MB.reg

rem del /q %systemroot%\200MB.reg

C:\WINDOWS>dir AUTO*
磁碟區 C 中的磁碟沒有標籤。
磁碟區序號: 2CA2-66A2

C:\WINDOWS 的目錄

2008/04/29 上午 01:01 159 AUTO.BAT
1 個檔案 159 位元組
0 個目錄 993,406,976 位元組可用

看更多先前的討論...收起先前的討論...

小成 iT邦高手 10 級 ‧ 2009-02-13 10:12:13 檢舉

麻煩列一下run.reg的內容

jamesjan iT邦高手 1 級 ‧ 2009-02-13 12:54:39 檢舉

您看一下 Windows 目錄下是否有 run.reg 的檔案
按右鍵選編輯看一下是什麼內容

鐵殼心 iT邦高手 1 級 ‧ 2009-02-13 16:29:08 檢舉

奔跑吧! 木馬?

kaoc iT邦新手 1 級 ‧ 2009-02-13 18:37:31 檢舉

C:\WINDOWS>dir run.reg
磁碟區 C 中的磁碟沒有標籤。
磁碟區序號: 2CA2-66A2

C:\WINDOWS 的目錄

2008/02/19 下午 05:42 256 RUN.REG
1 個檔案 256 位元組
0 個目錄 934,711,296 位元組可用

C:\WINDOWS>type run.reg
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"auto"=-
"auto3"=-

看不出來做了什麼事, 是不是 EeePC 第一次開機在跑的 batch 呢?

已先將 auto.bat 給 rename 了!

kaoc iT邦新手 1 級 ‧ 2009-02-13 18:42:55 檢舉

另外, sr.vbs 內容如下:

Option Explicit

Dim sGetObject

sGetObject = "winmgmts:root/default"

ScanSystemRestore

If WScript.Arguments(0) = 0 Then
	DisableSystemRestore
Else
	EnableSystemRestore
End If

Sub ScanSystemRestore
	Dim oService, sTemp, rp
' query wmi repository
	Set oService = GetObject(sGetObject).InstancesOf("SystemRestore")

	For Each rp in oService
		sTemp = "Name: " & rp.Description & " Number: " & rp.SequenceNumber & " Type: " & rp.RestorePointType & " Time: " & rp.CreationTime
		WScript.Echo sTemp
	Next

	If oService.Count = 0 Then
		WScript.Echo "No restore point in system"
	End if 

' release interfaces
	Set oService = Nothing
End Sub

Sub DisableSystemRestore
	Dim oService, status, oItem

	Set oService = GetObject("winmgmts:\\.\root\default")
	Set oItem = oService.Get("SystemRestore")
	status = oItem.Disable("")

	Set oItem = Nothing
	Set oService = Nothing
End Sub

kaoc iT邦新手 1 級 ‧ 2009-02-13 18:43:38 檢舉

超過1000字,所以分成二段,以下是第二段

Sub EnableSystemRestore
	Dim oService, status, oItem

	Set oService = GetObject("winmgmts:\\.\root\default")
	Set oItem = oService.Get("SystemRestore")
	status = oItem.Enable("")

	Set oItem = Nothing
	Set oService = Nothing
End Sub

fillano iT邦超人 1 級 ‧ 2009-02-13 22:35:21 檢舉

恩？看起來好像不具威脅，也許是Asus做的的恢復系統狀態的工具？我想您說的沒錯。

小成 iT邦高手 10 級 ‧ 2009-02-16 09:22:51 檢舉

前面一堆人說病毒木馬的= =a
又不是放在windows目錄下的bat就是木馬= =~
像我就很會自己做一堆bat放windows目錄下= =a
這東西看起來的確不太像病毒...
很可能如原po說的~是eeepc安裝後第一次開機要跑的東西

jamesjan iT邦高手 1 級 ‧ 2009-02-16 12:52:23 檢舉

由原先的 auto.bat 檔中會執行的只有以下幾行

@echo off
cd /d %systemroot% ' 切換到 Windows 目錄
rd /s /q i386  ' 將 i386 這個資料夾刪除 /s 是目錄結構 /q 是安靜模式, 不需確認
regedit /s run.reg ' 匯入 run.reg

如果
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
機碼中沒有奇怪的指令, 應該沒什麼問題

保險起見, 搜尋一下硬碟是否有其他的 auto.* 或 auto3.* 的檔案
有的話也將他 rename 吧

tom6507 iT邦大師 1 級 ‧ 2009-02-16 17:51:14 檢舉

我只覺得，在還沒看到完整的訊息前就斷定是病毒是不應該的

kaoc iT邦新手 1 級 ‧ 2009-02-16 18:25:31 檢舉

討論的資訊好像比較有用，所以請jamesjan等大大也在[答案區]回覆一下，這樣子才問題期限內才能夠方便選出"較"正確的答案。

不過.... 大家一起討論，收穫就多多，謝謝所有回覆跟參與討論的網友，這是一定要的。

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

6 個回答

processor

iT邦新手 5 級 ‧ 2009-02-23 16:22:52

最佳解答

應該不是病毒，參考討論區。

回應
分享
檢舉

登入發表回應

小湯

iT邦好手 1 級 ‧ 2009-02-13 10:54:42

看起來應該是被植入木馬! 掃毒看看吧!

回應
分享
檢舉

登入發表回應

ycdta

iT邦新手 5 級 ‧ 2009-02-13 11:59:09

植入木馬

回應
分享
檢舉

登入發表回應

inx

iT邦新手 5 級 ‧ 2009-02-13 12:06:05

應該是隨身碟病毒植入吧!
用一般的隨身碟病毒清除程式試試看吧!

回應
分享
檢舉

登入發表回應

julie8tw

iT邦研究生 4 級 ‧ 2009-02-13 15:56:24

建議刪除,這東西不太對喔

回應
分享
檢舉

登入發表回應

台灣熊 ( gric )

iT邦高手 1 級 ‧ 2009-02-14 14:21:20

這確實是病毒，正常的windows系統下的自動執行檔會是autoexec.bat不是auto.bat，這是病毒入侵所自動寫入的執行檔，而且不只是最近一兩年流行的USB型病毒會產生！(部分病毒也會竄改或是利用autoexec.bat來進行入侵)
你可以使用趨勢科技的iclean來清除看看，iclean不但會協助你清除病毒、第一版iclean還會對你的電腦做"打疫苗"的防毒動作，執行iclean的預防中毒工作後、你的目錄中會有一些像auot.bat(但不會有你列的語述內容)或是auto名稱的文件匣，這時請不用警張、是iclean預先將一些病毒與入侵軟體常會用到的關鍵"名稱"先佔用，使部分病毒或是入侵軟體不會再寫入達到預防的效果！
還有一個重點就是"iclean"免費的、請到趨勢科技網站下載！好東西與您一起分享！