GenProtect.exe木马病毒的手工查杀方法

原创:(转载) 一.症状分析: 1.时间被修改为2000年01月,不能显示隐藏文件.并且各盘根目录下生成auto.exe以及autorun.inf配置文件. 2.病毒运行后,在连网状态下会不停的从网站上下载木马程序和恶意插件到C:\WINDOWS下以及C:\WINDOWS\SYSTEM32下面并释放同木马名相同的病毒dll文件到system32下面.也会下载到系统临时文件夹中.(%temp%) 3.添加病毒进程.CPU使用率达100%. 4.病毒运行后会修改注册表添加RUN启动项并生成服务,实现开机自启动. 二.解决思路: 1.观: a.运行msconfig /6进入系统配置实用程序界面,观察病毒名称和加载的启动路径及注册表路径,来判断病毒藏身之所. b.运行msconfig /5打开服务窗口,在隐藏所有Microsoft服务前面打勾,查看病毒添加的服务, c.打开任务管理器器查看添加的进程.(可以结合启动项判断新增加的病毒进程) d.由启动项查看病毒所在位置并结合修改时间来分析那些是病毒文件. 2.杀:因有些病毒文件正在运行,而且病毒文件释放的DLL文件也会注入系统进程,会导致一些病毒程序在正常情况下无法删除.我们可以借助软件来强行查杀,比如icesword,或者Wsyscheck. 三.解决方法: 一.显示隐藏文件:(通过ctrl+alt+del打开任务管理器,在新建运行中分别两次输入下面的命令,再运行explorer.exe打开资源管理器.再设置工具-文件夹选项-查看,然后把隐藏受保护的操作系统的文件前面的勾去掉,并把显示所有文件和文件夹前面的勾去掉,即可显示隐藏文件) 1.先删除CheckedValue,命令是: cmd /k reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /f 2.重新建一个CheckedValue.命令是: cmd /k reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /t REG_DWORD /d 1 /f 二.运行msconfig /5打开服务窗口,在隐藏所有Microsoft服务前面打勾,并将病毒服务CED993FE 前勾去掉,也可以通过运行services.msc进去把CED993FE 禁用. 三.进程中删除GenProtect.exe(可用命令和借助工具)如下图(1)所示: 四.通过任务管理器进入各盘根目录删除auto.exe,autorun.inf.以及sos.exe(有的人中毒后有此程序) 1.autorun.inf内容如下: Autorun.inf [C:\] [AutoRun] open=auto.exe shellexecute=auto.exe shell\Auto\command=auto.exe [D:\] [AutoRun] open=auto.exe shellexecute=auto.exe shell\Auto\command=auto.exe [E:\] [AutoRun] open=auto.exe shellexecute=auto.exe shell\Auto\command=auto.exe [F:\] [AutoRun] open=auto.exe shellexecute=auto.exe shell\Auto\command=auto.exe 2.删除方法:在任务管理器新建运行中输入CMD打开命令提示符并输入以下内容: 五.运行msconfig /6,把所有启动项禁用,只留下ctfmon.exe和杀毒软件. 六.运行regedit.exe进去注册表: 1.展开HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows将右边的LOAD删除(系统配置实用程序中的无名的启动项.) 2.展开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run将run直接删除(哈哈,懒人的方法,)也可以将RUN下面的子项分别一个个删除.内容如下: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]     <MSDEG32><LYLoader.exe>       <MSDWG32><LYLoadbr.exe>       <MSDCG32    ><LYLeador.exe>       <MSDOG32><LYLoador.exe>       <MSDSG32><LYLoadar.exe>       <MSDMG32><LYLoadmr.exe>       <MSDHG32><LYLoadhr.exe>       <MSDQG32><LYLoadqr.exe> 3.进入注册表删除病毒服务项: a. CED993FE:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CED993FE,删除CED993FE b. HKEY_USERS\S-1-5-18\SYSTEM\CurrentControlSet\Services\CED993FE,删除CED993FE (注:可以把光标定位到注册表中我的电脑上,然后通过编辑查找功能输入CED993FE,找到删除.反复查找直到找完为止.如果遇到一些注册表服务项无法删除的.如:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CED993FE,删除时提示:删除项时出错.无法删除键值.此时可以借助工具,或用用户身份修改权限.) 七.分别删除windows和system32下的病毒文件和DLL模块.(system32图略,基本是和病毒程序同名的DLL病毒文件)文件如下: (如下图2所示) 而且这些病毒DLL模块会插入到explorer.exe和Iexplore.exe进程中.删除时需要结束这两个进程. <GenProtect><C:\WINDOWS\yrizwq.exe>       <Kvsc3><C:\WINDOWS\Kvsc3.exE>       <AVPSrv><C:\WINDOWS\AVPSrv.exE>       <mppds><C:\WINDOWS\mppds.exe>       <cmdbcs><C:\WINDOWS\cmdbcs.exe>       <upxdnd><C:\WINDOWS\upxdnd.exe>       <msccrt><C:\WINDOWS\msccrt.exe> <WinSysM><C:\WINDOWS\75976M.exe>   <LotusHlp><C:\WINDOWS\LotusHlp.exe> widnows文件夹下的病毒文件附图示说明如下: (注:删除不了的文件可以借助工具,比如icesword,或者Wsyscheck.) 八.把系统还原关闭,并将回收站的病毒文件给删除(可以在CMD中显示,然后用命令删除.或者借助工具)因为病毒可能隐藏在哪里. 九.清理%temp%中的病毒文件.(重启不运行任何程序再清理一次)和IE临时文件. 十.最后大扫除注册表:通过编辑查找功能分别彻底搜索一下上面删除的病毒文件,然后恢复系统时间为正常状态.     　 　 ───　<注:查杀过程中不能双击任何程序,否则病毒还没被清除掉就又给激活了,成死循环.一定要通过ctrl+alt+del打开任务管理器进行操作.包括一些辅助软件也要通过这里浏览确定运行来辅助查杀啊.> 相关图片如下: (图1:) (图2:) 注:驱逐舰杀毒软件(Vcrmon.exe)查杀结果附图,如上所示: