流风三山http://blog.yesky.com/Blog/storm_l/复制地址

——我的新站,欢迎访问:暴风中心

公告栏
添加到雅虎收藏+
收藏到天极网摘

我要啦免费统计
控制面板
  • 个人首页
  • 发表文章
  • 博客管理
  • 博客收藏
  • 我的相册
  • 上传相片
  • 我的家园
  • 我的群乐
    • 日历
    <2008年3月>
    SuMoTuWeThFrSa
    2425262728291
    2345678
    9101112131415
    16171819202122
    23242526272829
    303112345
    留言簿(2)
    文章分类
    文章档案
    欢迎访问
    最新评论
    阅读排行榜
    评论排行榜
    我的博客圈
    启动进桌面就重启的病毒的清除

    今天同事说她的电脑开不了机,系统刚启动就重启。看了下,系统是XP,正在进桌面时打开任务管理器,发现有以数字命名的EXE文件进程出现,如1.exe、13.exe等,终止进程,不会重启(该机很慢,128M内存,启动都要半天,所以有时间从容地发现和终止病毒进程,估计病毒郁闷死,怎么生在烂机上),然后双击硬盘想打开,发现不对劲,右击发现硬盘分区菜单中出现“自动播放”和“AUTO”,看来还有auto病毒,这时进程中也出现iexplorer.exe和cmd.exe进程,估计是病毒产生的,拜烂机所赐,我又能从容关闭进程。不过运行太慢了,而且在硬盘中有发现_desktop.ini文件,老相识-威金又来了。先用写保护的U盘拷SREng、冰刃(作为强制删除工具)以及江民出的威金专杀(估计对威金新变种没什么效力,后来果然是这样)到硬盘上,然后重启到安全模式下,根据SREng的显示的启动项删除相关注册表、服务驱动及文件(具体如下):

    c:\docume~1\xy\locals~1\temp\daso.exe(还是要先清空临时文件夹,清毒必做的)
    c:\docume~1\xy\locals~1\temp\rav.exe(还有冒充瑞星)

    其实下面有的不是根据SREng,当然扫描日志可以找到,但毕竟在安全模式下有的没出来也有可能,我是根据文件日期来找的,是今天出的事,当然找今天创建的文件,包括今天修改的文件也要查一下,位置主要在windows和system32下,当然也别草木皆兵,一看修改时间,二看创建时间,三看公司名称,四要到网上查找,别冤枉一个好人,宁宽些,按我的想法,只要启动中的项目没有留点余孽也没事,不放心就做好备份。

    C:\WINDOWS\System32\checkfile.dll
    C:\WINDOWS\System32\csv.dll
    C:\WINDOWS\System32\weftl.dll
    C:\WINDOWS\System32\wtfsm.dll
    C:\WINDOWS\System32\htysx.dll
    C:\WINDOWS\System32\wuhdd.dll
    C:\WINDOWS\System32\zwgfx.dll
    c:\windows\system32\zxapri.dll
    c:\windows\system32\tlcpri.dll
    c:\windows\system32\scandisk.dll
    c:\windows\system32\tlbpri.dll
    c:\windows\system32\xyapri.dll
    c:\windows\system32\mydata.exe
    c:\windows\system32\nwiztlbu.exe
    c:\windows\upxdnd.exe
    c:\windows\msimms32.exe

    c:\windows\system32\ctfnom.exe(正常的文字服务文件是ctfmon.exe)
    c:\windows\cmdbcs.exe(有点眼熟,最近常看到)

    下面这些应该更眼熟,上二篇杀毒日志中有出现的病毒服务
    c:\windows\system32\msdebug.dll
    c:\windows\system32\netsrvcs.dll
    c:\windows\system32\wmiapisrv.dll
    c:\windows\system32\servet.exe
    c:\windows\system32\windhcp.ocx
    c:\windows\system32\windds32.dll
    c:\windows\system32\remotedbg.dll
    c:\windows\uninstall\rundl132.exe(最后是威金)
      
    下面的注册表和服务都是用sreng删除的

    注册表启动项中删除:

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    [{1A65498A-7653-9801-1647-987114AB7F41}]    <C:\WINDOWS\System32\zxapri.dll>
    [{742BC423-3713-224D-3F55-32B35C62B1E7}]    <C:\WINDOWS\System32\tlcpri.dll>
    [{1496D5ED-7A09-46D0-8C92-B8E71A4304DF}]    <C:\WINDOWS\System32\scandisk.dll>
    [{642BC423-3713-224D-3F55-32B35C62B1E6}]    <C:\WINDOWS\System32\tlbpri.dll>
    [{213AF41A-21B1-131B-1BFC-D2A90DF4A2B2}]    <C:\WINDOWS\System32\xyapri.dll>

    从[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]下删除下面的启动项
    [dasa]    <C:\DOCUME~1\XY\LOCALS~1\Temp\daso.exe>
    [twin]    <C:\WINDOWS\System32\ctfnom.exe>
    [Microsoft Autorun4]    <C:\WINDOWS\System32\mydata.exe>
    [load]    <C:\WINDOWS\uninstall\rundl132.exe>
    [Microsoft Autorun7]    <C:\WINDOWS\System32\nwiztlbu.exe>
    [upxdnd]    <C:\WINDOWS\upxdnd.exe>
    [MsIMMs32]    <C:\WINDOWS\MsIMMs32.exe>
    [cmdbcs]    <C:\WINDOWS\cmdbcs.exe>
    [jqg5x56li]    <C:\DOCUME~1\XY\LOCALS~1\Temp\Rav.exe>
    还有[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]的<AppInit_DLLs><tlcpri.dll> 要改成(用编辑)<AppInit_DLLs><>,就是清空它的键值(正常为空值)

    在处理注册表时

    [{1A65498A-7653-9801-1647-987114AB7F41}]    <C:\WINDOWS\System32\zxapri.dll>
    [{742BC423-3713-224D-3F55-32B35C62B1E7}]    <C:\WINDOWS\System32\tlcpri.dll>
    [{1496D5ED-7A09-46D0-8C92-B8E71A4304DF}]    <C:\WINDOWS\System32\scandisk.dll>
    [{642BC423-3713-224D-3F55-32B35C62B1E6}]    <C:\WINDOWS\System32\tlbpri.dll>
    [{213AF41A-21B1-131B-1BFC-D2A90DF4A2B2}]    <C:\WINDOWS\System32\xyapri.dll>

    和<AppInit_DLLs><tlcpri.dll>,出现删除不了的情况,注册表项删除后一刷新就恢复,但文件可以删除,后来等其它全处理完重启后到正常模式下再删除注册表项才删除干净。
     
        SREng - 启动项目 -- 服务 -- Win32服务应用程序之如下项删除(以前也遇到过):
    [Win32 Debug Service / MSDebugsvc]    <C:\WINDOWS\System32\rundll32.exe msdebug.dll,input>
    [Wireless Service / WZCSRVC]    <C:\WINDOWS\System32\rundll32.exe netsrvcs.dll,input>
    [WMI Performance API / WMIApiSrv]    <C:\WINDOWS\System32\rundll32.exe WMIApiSrv.dll,input>
    [Telephonyl / WindowsDown]    <C:\WINDOWS\System32\servet.exe>
    [Windows DHCP Service / WinDHCPsvc]    <C:\WINDOWS\System32\rundll32.exe windhcp.ocx,input>
    [Win32 Display Driver / Win32DDS]    <C:\WINDOWS\System32\rundll32.exe windds32.dll,input>
    [Remote Debug Service / RemoteDbg]    <C:\WINDOWS\System32\rundll32.exe RemoteDbg.dll,input>

    然后是处理AutoRun.inf(就是自动播放的问题),从开始-运行-输入c:,进入c盘,删除autorun.inf及它的同伙pagefile.pif

    注:该autorun.inf中的内容为:

    open=pagefile.pif
    shellexecute=pagefile.pif
    shell\Auto\command=pagefile.pif
     
    然后,用威金专杀扫一遍,果然没杀出一个。只好先在c:\windows\uninstall\下建一个文本文件,改为rundl132.exe,属性设只读,然后重启。不过幸好重启后,原机上的杀软就开始工作了,清除被威金感染的EXE文件,全部恢复。OK。


    作者:流风 阅读() 评论()  编辑 发表于:2007-06-21 21:12
    相关内容
  • 2007,AUTO病毒大行其道
  • 五句诗词,仍在“以讹传讹”
  • 火狐浏览器超快启动的三个秘籍
  • 两个暴强的企鹅!
  • 瑞星2008最新体验
  • 《乔伊》(《六人行》续集) 在线观看
  • 慎用精简版XP
  • 关于进程表
  • 我的新浪博客
  • 几个疑似恶意软件的摘录
    • 文章评论

  • # re: 启动进桌面就重启的病毒的清除
    • 哇塞
    老兄 你都可以写杀毒软件了
    真厉害
    上海数据恢复 | 2007-06-22 10:39

    发表评论
    标题 *  
    姓名 *  
    内容 *  
       验证码: *       
           
    版权声明:天极是本Blog托管服务提供商。如本文牵涉版权问题,天极不承担相关责任,请版权拥有者直接与文章作者联系解决。
    Powered by:

    Copyright © 流风