最近一段时间上网,开机不久avast就报警说有病毒,仔细一看是什么和易语言库文件spec.fne有关的东西,于是没有深究就选择删除操作,但是每次avast都是删除失败。次数多了,于是查看一下进程表发现可疑进程
XP-63E83BEB.EXE,上网一搜索才知道果然有病毒。
这是一种广告木马病毒,也是文件图标病毒,同样具有Autorun属性。该病毒是用易语言编写,运行后会在系统目录system32下生成类似XP-63E83BEB.EXE的病毒副本,其中63E83BEB是随机的,并搜索移动设备,生成autorun文件,并根据移动存储设备根目录文件夹名生成同名EXE文件,并将原文件夹隐藏起来。另外病毒还会删除临时文件及Cookies,删除IE访问记录TypedURL。
感染以后的表现:
生成文件(以系统盘为C盘,winxp Sp3为例,U:/代表U盘盘符)
C:/WINDOWS/system32/XP-63E83BEB.EXE
C:/WINDOWS/system32/ul.dll
C:/WINDOWS/system32/og.dll
C:/WINDOWS/system32/com.run
C:/Documents and Settings/guoguo/「开始」菜单/程序/启动/ .lnk 指向C:/WINDOW
S/system32/XP-63E83BEB.EXE(注意空格,XP-63E83BEB.EXE是隐藏文件夹图标的名字)
以下是生成的易语言库文件:
C:/WINDOWS/system32/dp1.fne
C:/WINDOWS/system32/eAPI.fne
C:/WINDOWS/system32/internet.fne
C:/WINDOWS/system32/krnln.fnr
C:/WINDOWS/system32/RegEx.fnr
C:/WINDOWS/system32/shell.fne
C:/WINDOWS/system32/spec.fne
U:/autorun.inf
U:/Recycled.exe
在U盘根目录生成文件夹图标同名EXE文件,并将原文件夹隐藏起来。
添加注册表启动项:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
XP-63E83BEB(这里也是随机的,根据病毒名生成的不同而变)
查杀方法:
1。下载最新的usbcleaner,并运行其中的foldercure.exe (文件夹图标病毒扫描器)。
2手动查杀:结束进程
XP-63E83BEB.EXE(注意名称不固定)
依次删除
C:/WINDOWS/system32/ul.dll 2,404
C:/WINDOWS/system32/og.dll 692
C:/WINDOWS/system32/com.run 270,336
C:/Documents and Settings/guoguo/「开始」菜单/程序/启动/ .lnk 指向C:/WINDOW
S/system32/XP-8B618895.EXE(注意空格)
以下是易语言的库文件等:
C:/WINDOWS/system32/dp1.fne
C:/WINDOWS/system32/eAPI.fne
C:/WINDOWS/system32/internet.fne
C:/WINDOWS/system32/krnln.fnr
C:/WINDOWS/system32/RegEx.fnr
C:/WINDOWS/system32/shell.fne
C:/WINDOWS/system32/spec.fne
删除病毒启动项
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
XP-8B618895(此处根据病毒名称而定)
手动删除U盘根目录的文件夹图标同名EXE文件即可!
PS:参考了网上类似资源,实际动手操作一边,证明是有效地,纠正的了相关的步骤!共享是王道!