从去年下半年,发现越来越多的同事在受一种病毒的骚扰。就是电脑的分区盘双击不能打开,而是出现一个打开方式的对话框,击右键的话,会发现属性菜单第一行为英文的OPEN选项,类似选项多了这么三行,或者多了一个打开选项,点击工具文件夹选项,如果显示所有文件和文件夹能选中的话,根目录下会有几个隐藏的文件,auto.exe,autorun.inf,recycle,System Volume Information ,现在该病毒的变种更加猖狂,他会通过一些方法禁止杀毒软件的启动,修改注册表,将显示文件和文件夹的注册表修改,修改后你将不能选中该项,因而也就无法看到这些病毒文件,查了一些资料,才算对该病毒有了一定的认识。
转载:近发现这个病毒的求助者增多,看了一下,其实此病毒就是前些日子流行的***下载器rising.exe的变种,改个名字而已,手法相同。
如果时间被改首先把日期改回来
打开sreng
启动项目 注册表 删除如下项目 (有哪个删哪个)
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<Shell><"C:\WINDOWS\system32\Rundll32.exe" "C:\WINDOWS\system32
\shell32.dll",Control_RunDLL "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dat9.tmp"> [N/A]
<Shell.exe><C:\WINDOWS\system32\Shell.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<upxdnd><C:\WINDOWS\upxdnd.exe> []
<mppds><C:\WINDOWS\mppds.exe> []
<TIMHost><C:\WINDOWS\TIMHost.exe> []
<AVPSrv><C:\WINDOWS\AVPSrv.exe> []
<Microsoft Autorun1><C:\WINDOWS\system32\nwizdh.exe> []
<Microsoft Autorun9><C:\WINDOWS\system32\Ravasktao.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{E25C29AB-12B9-4523-A53C-324B5FBA648C}><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dat9.tmp>
<{13BB17A1-1B9D-1F83-235F-27552B3B2F17}><C:\WINDOWS\system32\k118335740863qso.dll> []
<{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}><C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys> []
<Microsoft Autorun5><C:\WINDOWS\system32\mosou.exe> []
<Microsoft Autorun7><C:\WINDOWS\system32\nwizqjsj.exe> []
<Microsoft Autorun1><C:\WINDOWS\system32\nwizdh.exe> []
<TIMHost><C:\WINDOWS\TIMHost.exe> []
<WinForm><C:\WINDOWS\WinForm.exe> []
<MsIMMs32><C:\WINDOWS\MsIMMs32.exe> []
<Microsoft Autorun11><C:\WINDOWS\system32\nwizwlwzs.exe> []
<cmdbcs><C:\WINDOWS\cmdbcs.exe> []
<upxdnd><C:\WINDOWS\upxdnd.exe> []
<Kvsc3><C:\WINDOWS\Kvsc3.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{81716107-A10D-11cf-64CD-11115FE1CF41}]
<N/A><C:\WINDOWS\system32\nwizzhuxians.exe> []
“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:(有哪个删哪个)
3FC3578B / 3FC3578B(随机名称)
E539E00C / E539E00C(随机名称)
Win32 Debug Service / MSDebugsvc
Remote Debug Service / RemoteDbg
Win32 Display Driver / Win32DDS
Wireless Service / WZCSRVC
重启计算机 (以下文件有哪个删哪个)
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作
系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
点击 菜单栏下方的 文件夹 按钮 进入资源管理器
从资源管理器中进入C盘 删除C:\autorun.inf
C:\auto.exe
C:\pagefile.pif
C:\Program Files\Internet Explorer\Connection Wizard\icwres.ocx
C:\Program Files\Internet Explorer\Connection Wizard\isignup.dll
C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys
C:\WINDOWS\system32\107E7AF5.DLL(随机文件名)
C:\WINDOWS\system32\AC254E44.EXE(随机文件名)
C:\WINDOWS\system32\AVPSrv.dll
C:\WINDOWS\system32\B96A05C.EXE(随机文件名)
C:\WINDOWS\system32\bcawvt.dll
C:\WINDOWS\system32\chzzyi.dll
C:\WINDOWS\system32\dllhost32.exe
C:\WINDOWS\system32\eykesr.dll
C:\WINDOWS\system32\F7F735F8.DLL(随机文件名)
C:\WINDOWS\system32\gafjib.dll
C:\WINDOWS\system32\humnyb.dll
C:\WINDOWS\system32\install.exe
C:\WINDOWS\system32\kxxxxxxxxxxx.exe(随机文件名)
C:\WINDOWS\system32\k118335740863qso.dll
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\system32\msdebug.dll
C:\WINDOWS\system32\Msf3sf.sys
C:\WINDOWS\system32\nwizdh.exe
C:\WINDOWS\system32\qqcnpk.dll
C:\WINDOWS\system32\Shell.exe
C:\WINDOWS\system32\Shell.pci
C:\WINDOWS\system32\skblsj.dll
C:\WINDOWS\system32\TIMHost.dll
C:\WINDOWS\system32\unlmon.dll
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\uzgeey.dll
C:\WINDOWS\AVPSrv.exe
C:\WINDOWS\fqpatv.exe
C:\WINDOWS\mppds.exe
C:\WINDOWS\TIMHost.exe
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\system32\nwizqjsj.dll
C:\WINDOWS\system32\dh2104.dll
C:\WINDOWS\system32\MOSOU.dll
C:\WINDOWS\system32\nwizwlwzs.dll
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\system32\msapi.dll
C:\WINDOWS\system32\k11838716714.DAT(随机名称)
C:\WINDOWS\system32\nwizzhuxians.dll
C:\WINDOWS\system32\AVPSrv.dll
C:\WINDOWS\system32\TIMHost.dll
C:\WINDOWS\system32\WinForm.dll
C:\WINDOWS\system32\MsIMMs32.dll
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\mosou.exe
C:\WINDOWS\system32\nwizqjsj.exe
C:\WINDOWS\system32\nwizdh.exe
C:\WINDOWS\TIMHost.exe
C:\WINDOWS\WinForm.exe
C:\WINDOWS\MsIMMs32.exe
C:\WINDOWS\system32\nwizwlwzs.exe
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\system32\nwizzhuxians.exe
同理打开其他分区 删除其他分区根目录下的
autorun.inf
auto.exe
pagefile.pif
升级杀毒软件至最新版本 全盘杀毒!清理被感染的exe
杀毒方法还可以参考一下方法(未尝试):
打开sreng
启动项目 注册表 删除如下项目 (有哪个删哪个)
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<Shell><"C:\WINDOWS\system32\Rundll32.exe" "C:\WINDOWS\system32
\shell32.dll",Control_RunDLL "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dat9.tmp"> [N/A]
<Shell.exe><C:\WINDOWS\system32\Shell.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<upxdnd><C:\WINDOWS\upxdnd.exe> []
<mppds><C:\WINDOWS\mppds.exe> []
<TIMHost><C:\WINDOWS\TIMHost.exe> []
<AVPSrv><C:\WINDOWS\AVPSrv.exe> []
<Microsoft Autorun1><C:\WINDOWS\system32\nwizdh.exe> []
<Microsoft Autorun9><C:\WINDOWS\system32\Ravasktao.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{E25C29AB-12B9-4523-A53C-324B5FBA648C}><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dat9.tmp>
<{13BB17A1-1B9D-1F83-235F-27552B3B2F17}><C:\WINDOWS\system32\k118335740863qso.dll> []
<{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}><C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys> []
<Microsoft Autorun5><C:\WINDOWS\system32\mosou.exe> []
<Microsoft Autorun7><C:\WINDOWS\system32\nwizqjsj.exe> []
<Microsoft Autorun1><C:\WINDOWS\system32\nwizdh.exe> []
<TIMHost><C:\WINDOWS\TIMHost.exe> []
<WinForm><C:\WINDOWS\WinForm.exe> []
<MsIMMs32><C:\WINDOWS\MsIMMs32.exe> []
<Microsoft Autorun11><C:\WINDOWS\system32\nwizwlwzs.exe> []
<cmdbcs><C:\WINDOWS\cmdbcs.exe> []
<upxdnd><C:\WINDOWS\upxdnd.exe> []
<Kvsc3><C:\WINDOWS\Kvsc3.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{81716107-A10D-11cf-64CD-11115FE1CF41}]
<N/A><C:\WINDOWS\system32\nwizzhuxians.exe> []
“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:(有哪个删哪个)
3FC3578B / 3FC3578B(随机名称)
E539E00C / E539E00C(随机名称)
Win32 Debug Service / MSDebugsvc
Remote Debug Service / RemoteDbg
Win32 Display Driver / Win32DDS
Wireless Service / WZCSRVC
重启计算机 (以下文件有哪个删哪个)
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作
系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
点击 菜单栏下方的 文件夹 按钮 进入资源管理器
从资源管理器中进入C盘 删除C:\autorun.inf
C:\auto.exe
C:\pagefile.pif
C:\Program Files\Internet Explorer\Connection Wizard\icwres.ocx
C:\Program Files\Internet Explorer\Connection Wizard\isignup.dll
C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys
C:\WINDOWS\system32\107E7AF5.DLL(随机文件名)
C:\WINDOWS\system32\AC254E44.EXE(随机文件名)
C:\WINDOWS\system32\AVPSrv.dll
C:\WINDOWS\system32\B96A05C.EXE(随机文件名)
C:\WINDOWS\system32\bcawvt.dll
C:\WINDOWS\system32\chzzyi.dll
C:\WINDOWS\system32\dllhost32.exe
C:\WINDOWS\system32\eykesr.dll
C:\WINDOWS\system32\F7F735F8.DLL(随机文件名)
C:\WINDOWS\system32\gafjib.dll
C:\WINDOWS\system32\humnyb.dll
C:\WINDOWS\system32\install.exe
C:\WINDOWS\system32\kxxxxxxxxxxx.exe(随机文件名)
C:\WINDOWS\system32\k118335740863qso.dll
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\system32\msdebug.dll
C:\WINDOWS\system32\Msf3sf.sys
C:\WINDOWS\system32\nwizdh.exe
C:\WINDOWS\system32\qqcnpk.dll
C:\WINDOWS\system32\Shell.exe
C:\WINDOWS\system32\Shell.pci
C:\WINDOWS\system32\skblsj.dll
C:\WINDOWS\system32\TIMHost.dll
C:\WINDOWS\system32\unlmon.dll
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\uzgeey.dll
C:\WINDOWS\AVPSrv.exe
C:\WINDOWS\fqpatv.exe
C:\WINDOWS\mppds.exe
C:\WINDOWS\TIMHost.exe
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\system32\nwizqjsj.dll
C:\WINDOWS\system32\dh2104.dll
C:\WINDOWS\system32\MOSOU.dll
C:\WINDOWS\system32\nwizwlwzs.dll
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\system32\msapi.dll
C:\WINDOWS\system32\k11838716714.DAT(随机名称)
C:\WINDOWS\system32\nwizzhuxians.dll
C:\WINDOWS\system32\AVPSrv.dll
C:\WINDOWS\system32\TIMHost.dll
C:\WINDOWS\system32\WinForm.dll
C:\WINDOWS\system32\MsIMMs32.dll
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\mosou.exe
C:\WINDOWS\system32\nwizqjsj.exe
C:\WINDOWS\system32\nwizdh.exe
C:\WINDOWS\TIMHost.exe
C:\WINDOWS\WinForm.exe
C:\WINDOWS\MsIMMs32.exe
C:\WINDOWS\system32\nwizwlwzs.exe
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\system32\nwizzhuxians.exe
同理打开其他分区 删除其他分区根目录下的
autorun.inf
auto.exe
pagefile.pif
升级杀毒软件至最新版本 全盘杀毒!清理被感染的exe
杀毒方法还可以参考一下方法(未尝试):
Autorun病毒防御者(英文名:AutoGuarder)是一款集查杀Autorun病毒、实时防御Autorun病毒为一体的专杀软件。她为查杀通过Autorun传播的病毒和***提供了整套的解决方案。此外,软件中还附带了几个有用的工具,以解决Autorun病毒遗留下来的种种问题。
有了Autorun病毒防御者,您将从此远离Autorun病毒带来的困扰。并且,她还是完全免费并且纯绿色的!
此软件来源:[任软工作室],多谢友情提供!
软件特色一览:
-- 实时监控查杀任何插入的可移动磁盘(包括U盘、MP3、MP4和移动硬盘等USB设备)。
-- 手动扫描查杀内存中和本地硬盘上的病毒、并清除病毒的开机自动启动注册表项目。
-- 自动更新功能保证您能够及时获得最新的程序组件。
-- 闪电般的查杀速度,让您的系统瞬间摆脱Autorun病毒的威胁。
-- 极低的资源占用,不会影响您的正常工作。
-- 可以免疫可移动磁盘,避免再感染Autorun病毒。
-- 可以禁止与恢复系统的自动播放功能。
-- 恢复“显示所有文件和文件夹”的功能。
-- 恢复exe、txt文件的正确关联。
-- 可以解除被锁定的注册表编辑器。
-- 详尽的帮助系统让您轻松体验本软件的所有功能。
此软件时时更新中........
下载地址:
[url]http://hi.baidu.com/kongie/blog/item/752666389705872296ddd81e.html[/url]
有了Autorun病毒防御者,您将从此远离Autorun病毒带来的困扰。并且,她还是完全免费并且纯绿色的!
此软件来源:[任软工作室],多谢友情提供!
软件特色一览:
-- 实时监控查杀任何插入的可移动磁盘(包括U盘、MP3、MP4和移动硬盘等USB设备)。
-- 手动扫描查杀内存中和本地硬盘上的病毒、并清除病毒的开机自动启动注册表项目。
-- 自动更新功能保证您能够及时获得最新的程序组件。
-- 闪电般的查杀速度,让您的系统瞬间摆脱Autorun病毒的威胁。
-- 极低的资源占用,不会影响您的正常工作。
-- 可以免疫可移动磁盘,避免再感染Autorun病毒。
-- 可以禁止与恢复系统的自动播放功能。
-- 恢复“显示所有文件和文件夹”的功能。
-- 恢复exe、txt文件的正确关联。
-- 可以解除被锁定的注册表编辑器。
-- 详尽的帮助系统让您轻松体验本软件的所有功能。
此软件时时更新中........
下载地址:
[url]http://hi.baidu.com/kongie/blog/item/752666389705872296ddd81e.html[/url]
第三种方法(建议):
推荐使用免费绿色的 USBKill U盘病毒防火墙实时保护
1.内置强力清除技术针对各种变种autorun自动播放病毒都可以轻松清除, 采用不基于特征码查毒方式更准确安全可靠查杀U盘病毒。
2.支持随Windows启动后台运行,实时保护USB移动设备安全,实时保护 硬盘、mp3、u盘、mp4、sd卡、tf卡、psp、移动硬盘中的自动播放类Auto病毒。
3.实时侦测系统日期修改类病毒,可以有效查杀最新autorun类U盘病毒,保护QQ和卡巴斯基杀毒软件的安全正常工作。
4.软件提供了强大的系统修复功能,全面修复病毒对系统破坏,修复文件夹选项丢失、无法显示隐藏文件等系统问题。
5.软件提供了安全打开USB移动设备功能且可选禁止自动播放,双重保护,不会触发病毒,安全可靠。
6.支持最新通过ani感染方式传播的autorun类病毒以及系统ani漏洞扫描功能,自动下载安装修复补丁。
7.强力修复能力使系统杀毒后轻松解决硬盘双击无法打开等系统问题。
8.支持设备安全移除功能。
9.增强扫描深度,提供个性化U盘,显示USB设备组信息。
10.支持最新AV终结者、随机数字等最新变种查杀。
下载页面 [url]http://www.oovista.com/article/usbkill.htm[/url]
1.内置强力清除技术针对各种变种autorun自动播放病毒都可以轻松清除, 采用不基于特征码查毒方式更准确安全可靠查杀U盘病毒。
2.支持随Windows启动后台运行,实时保护USB移动设备安全,实时保护 硬盘、mp3、u盘、mp4、sd卡、tf卡、psp、移动硬盘中的自动播放类Auto病毒。
3.实时侦测系统日期修改类病毒,可以有效查杀最新autorun类U盘病毒,保护QQ和卡巴斯基杀毒软件的安全正常工作。
4.软件提供了强大的系统修复功能,全面修复病毒对系统破坏,修复文件夹选项丢失、无法显示隐藏文件等系统问题。
5.软件提供了安全打开USB移动设备功能且可选禁止自动播放,双重保护,不会触发病毒,安全可靠。
6.支持最新通过ani感染方式传播的autorun类病毒以及系统ani漏洞扫描功能,自动下载安装修复补丁。
7.强力修复能力使系统杀毒后轻松解决硬盘双击无法打开等系统问题。
8.支持设备安全移除功能。
9.增强扫描深度,提供个性化U盘,显示USB设备组信息。
10.支持最新AV终结者、随机数字等最新变种查杀。
下载页面 [url]http://www.oovista.com/article/usbkill.htm[/url]
转载于:https://blog.51cto.com/happybird/34358
1076
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
