运行了一个不运行的*.exe东东,明知可能有毒还去运行,结果真有毒。
病毒发现: 重起电脑,发现系统进程运行了cmd.exe,ping.exe 这两个是不在启动时执行的.可去启动项目没发现不正常的
想显示隐藏的系统文件时发现,“不显示隐藏文件”没锁死。无法修改,找开IE,主页被改为“daohang.htm”,且无法修改
处理过程: 用Administrator进入安全模式.看到C:/下有个svhddf.exe文件。就直接删了。再到c:/windows下,按文件的创建时间排序,没有发现与中毒时间相近的文件,再到c:/windows/system32/下发现一个ruixing.exe的自解压程序与中毒时间相近.用Winrar找开发(可别直接自解压)。看了它的自解压脚本命令,就是它放出的svhddf.exe文件.解压包里还有注册表文件,IE的快捷方式等.看了一下,判断它没有释放别的文件,就把它删了。
注册表没有按它写入的地方一一删除,就直接用系统还原吧!(正系统前一天才自动备份过).
在这个病毒中还发现取得系统目录和用户目录可以用%HOMEDRIVE% %HOMEPATH% 这两个环境变量,看到把如果系统装在D盘的话,也一样会中毒。