原创:(转载)
一.症状分析:
1.时间被修改为2000年01月,不能显示隐藏文件.并且各盘根目录下生成auto.exe以及autorun.inf配置文件.
2.病毒运行后,在连网状态下会不停的从网站上下载木马程序和恶意插件到C:\WINDOWS下以及C:\WINDOWS\SYSTEM32下面并释放同木马名相同的病毒dll文件到system32下面.也会下载到系统临时文件夹中.(%temp%)
3.添加病毒进程.CPU使用率达100%.
4.病毒运行后会修改注册表添加RUN启动项并生成服务,实现开机自启动.
二.解决思路:
1.观:
a.运行msconfig /6进入系统配置实用程序界面,观察病毒名称和加载的启动路径及注册表路径,来判断病毒藏身之所.
b.运行msconfig /5打开服务窗口,在隐藏所有Microsoft服务前面打勾,查看病毒添加的服务,
c.打开任务管理器器查看添加的进程.(可以结合启动项判断新增加的病毒进程)
d.由启动项查看病毒所在位置并结合修改时间来分析那些是病毒文件.
2.杀:因有些病毒文件正在运行,而且病毒文件释放的DLL文件也会注入系统进程,会导致一些病毒程序在正常情况下无法删除.我们可以借助软件来强行查杀,比如icesword,或者Wsyscheck.
三.解决方法:
一.显示隐藏文件:(通过ctrl+alt+del打开任务管理器,在新建运行中分别两次输入下面的命令,再运行explorer.exe打开资源管理器.再设置工具-文件夹选项-查看,然后把隐藏受保护的操作系统的文件前面的勾去掉,并把显示所有文件和文件夹前面的勾去掉,即可显示隐藏文件)
1.先删除CheckedValue,命令是:
cmd /k reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /f
2.重新建一个CheckedValue.命令是:
cmd /k reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /t REG_DWORD /d 1 /f
二.运行msconfig /5打开服务窗口,在隐藏所有Microsoft服务前面打勾,并将病毒服务CED993FE 前勾去掉,也可以通过运行services.msc进去把CED993FE 禁用.
三.进程中删除GenProtect.exe(可用命令和借助工具)如下图(1)所示:
四.通过任务管理器进入各盘根目录删除auto.exe,autorun.inf.以及sos.exe(有的人中毒后有此程序)
1.autorun.inf内容如下:
Autorun.inf
[C:\]
[AutoRun]
open=auto.exe
shellexecute=auto.exe
shell\Auto\command=auto.exe
[D:\]
[AutoRun]
open=auto.exe
shellexecute=auto.exe
shell\Auto\command=auto.exe
[E:\]
[AutoRun]
open=auto.exe
shellexecute=auto.exe
shell\Auto\command=auto.exe
[F:\]
[AutoRun]
open=auto.exe
shellexecute=auto.exe
shell\Auto\command=auto.exe
2.删除方法:在任务管理器新建运行中输入CMD打开命令提示符并输入以下内容:
五.运行msconfig /6,把所有启动项禁用,只留下ctfmon.exe和杀毒软件.
六.运行regedit.exe进去注册表:
1.展开HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows将右边的LOAD删除(系统配置实用程序中的无名的启动项.)
2.展开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run将run直接删除(哈哈,懒人的方法,)也可以将RUN下面的子项分别一个个删除.内容如下:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<MSDEG32><LYLoader.exe>
<MSDWG32><LYLoadbr.exe>
<MSDCG32 ><LYLeador.exe>
<MSDOG32><LYLoador.exe>
<MSDSG32><LYLoadar.exe>
<MSDMG32><LYLoadmr.exe>
<MSDHG32><LYLoadhr.exe>
<MSDQG32><LYLoadqr.exe>
3.进入注册表删除病毒服务项:
a. CED993FE:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CED993FE,删除CED993FE
b. HKEY_USERS\S-1-5-18\SYSTEM\CurrentControlSet\Services\CED993FE,删除CED993FE
(注:可以把光标定位到注册表中我的电脑上,然后通过编辑查找功能输入CED993FE,找到删除.反复查找直到找完为止.如果遇到一些注册表服务项无法删除的.如:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CED993FE,删除时提示:删除项时出错.无法删除键值.此时可以借助工具,或用用户身份修改权限.)
七.分别删除windows和system32下的病毒文件和DLL模块.(system32图略,基本是和病毒程序同名的DLL病毒文件)文件如下: (如下图2所示) 而且这些病毒DLL模块会插入到explorer.exe和Iexplore.exe进程中.删除时需要结束这两个进程.
<GenProtect><C:\WINDOWS\yrizwq.exe>
<Kvsc3><C:\WINDOWS\Kvsc3.exE>
<AVPSrv><C:\WINDOWS\AVPSrv.exE>
<mppds><C:\WINDOWS\mppds.exe>
<cmdbcs><C:\WINDOWS\cmdbcs.exe>
<upxdnd><C:\WINDOWS\upxdnd.exe>
<msccrt><C:\WINDOWS\msccrt.exe>
<WinSysM><C:\WINDOWS\75976M.exe>
<LotusHlp><C:\WINDOWS\LotusHlp.exe>
widnows文件夹下的病毒文件附图示说明如下:
(注:删除不了的文件可以借助工具,比如icesword,或者Wsyscheck.)
八.把系统还原关闭,并将回收站的病毒文件给删除(可以在CMD中显示,然后用命令删除.或者借助工具)因为病毒可能隐藏在哪里.
九.清理%temp%中的病毒文件.(重启不运行任何程序再清理一次)和IE临时文件.
十.最后大扫除注册表:通过编辑查找功能分别彻底搜索一下上面删除的病毒文件,然后恢复系统时间为正常状态.
─── <注:查杀过程中不能双击任何程序,否则病毒还没被清除掉就又给激活了,成死循环.一定要通过ctrl+alt+del打开任务管理器进行操作.包括一些辅助软件也要通过这里浏览确定运行来辅助查杀啊.>
相关图片如下:
(图1:)
(图2:)
注:驱逐舰杀毒软件(Vcrmon.exe)查杀结果附图,如上所示: