扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
情况
所有盘符右键都有运行,各个盘下都会出现随机的8位的XXXXXXXX.exe和autorun.inf文件
上网搜索病毒、木马等都会被病毒关掉,无法打开nod32等杀毒
软件
无法查看隐藏文件,解决方法:
方法一:修改注册表文件(将下面的文件保存位ok.reg)运行即可
[复制此代码]CODE:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001
方法二:用acdsee查看
今天遭遇到比较强悍的病毒,和病毒进行了一番较量:
一 起因
病毒是在同事的机器上用U盘考了个文件后出现的,估计是通过U盘传播的病毒。
二 病毒的表现:
1 把我的瑞星杀毒软件给关掉了,瑞星杀毒软件不能运行。瑞星杀毒不能打开,也不能卸载,也不能重新安装。进入瑞星杀毒安装界面就被病毒关掉进程了。
2 不能显示隐藏文件。不能更改菜单-工具-文件夹选项-查看-隐藏文件和文件夹,显示 所有文件和文件夹 不起作用。
3 超级兔子魔法设置打不开。超级兔子魔法设置也不能运行。能卸载和重新安装,但是打不开,软件不能运行。
4 有好多软件工作不正常,不能运行,一闪而过。
5 上网,浏览器搜索引擎中如果出现敏感字眼,比如 病毒,杀毒,瑞星,等等,浏览器马上关闭。
6 我把我正版的瑞星杀毒2007拷贝到我的硬盘上了,打开杀毒软件安装盘的目录,也会马上关闭。
7 好多软件里不能出现诸如病毒之类的字眼,否则立即关闭。
8 安全模式也进不去了,开机按F8键不能进入安全模式。
三 应对
1 由于WINDOWS的资源管理器不能显示隐藏文件,于是用外部软件ACDSee的资源管理器打开硬盘,ACDSee可以查看到隐藏属性的文件。发现除了系统盘C:以外的几个硬盘,在根目录下多了两个隐藏文件:05AE9FE4.exe和AutoRun.inf。
用记事本查看AutoRun.inf的内容如下:
[AutoRun]
open=05AE9FE4.exe
shell\open=打开(&O)
shell\open\Command=05AE9FE4.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=05AE9FE4.exe
利用自动运行来运行病毒,具有U盘病毒的特征。
05AE9FE4.exe和AutoRun.inf两个文件可以删除,但删除后马上有会再次出现。
由于不能确定病毒感染的程度,所以重装系统也不一定有用。
2 用 系统配置实用程序 查看启动项,没有发现问题。
用WINDOWS任务管理器查看进程,没有发现可疑的进程,终止掉大部分进程,也不能禁止病毒的进程。
用优化大师的进程管理器也不能发现是哪个进程的问题。
3 用我的感染病毒的机器上网,寻找答案,IE浏览器被病毒控制,不能搜索出答案。键入 病毒 杀毒 瑞星等等,浏览器马上被关闭。另外找了台机器,上网,搜索关键词“瑞星杀毒软件不能运行”,参照网友的方法,在我的机器上做如下试验:
在桌面上新建两个文件夹,命名为 05AE9FE4.exe和AutoRun.inf。右键点复制。
用ACDSee软件的资源管理器打开硬盘,删除硬盘根目录下的两个文件05AE9FE4.e xe和AutoRun.inf后,马上右键点粘贴,把两个空文件夹粘贴进去,用两个空文件夹代替两个隐藏的病毒文件。病毒发觉文件被删除,也建立不了新的病毒文件 ,因为文件名相同,病毒文件无法复制进来了(在同一目录下,如果存在一个文件夹,再想粘贴进来同名的文件时,系统会提示存在文件名相同的文件或文件夹,无法粘贴)。用相同的方法,把除了系统盘以外的几个硬盘根目录下的病毒文件全部替换。
下面要找出病毒真正的藏身之处。
在我的电脑中全部禁用系统还原。清除网页地址。Internet浏览器属性-常规-Internet临时文件-清除临时文件,清除历史记录。
下载SREng软件,病毒对SREng软件也是敏感的,一开始, SREng软件被关闭了好几次。我把SREng软件改名(例如可以改名为3322.com的形式),在打开的瞬间,赶快点击启动项目选项卡,SREng软件终于可以稳住了。
用SREng软件终于查到一个启动项,关联到C:\Program Files\Common Files\Microsoft Shared\MSInfo\05AE9FE4.exe,这就是真正隐藏的病毒了,终于找到病毒的老窝。删除这个启动项,马上又建立了一个。删不掉。删除C:\Program Files\Common Files\Microsoft Shared\MSInfo\05AE9FE4.exe这个文件,提示文件正在使用,无法删除。试着更改文件的属性,去掉隐藏属性,成功,马上重命名文件为05AE9FE46666.exe,成功。病毒建立了另外一个文件C:\Program Files\Common Files\Microsoft Shared\MSInfo\05AE9FE4.dll,顺便删除。
查看删不掉的启动项,关联的文件名还是C:\Program Files\Common Files\Microsoft Shared\MSInfo\05AE9FE4.exe没有改变,马上重新启动系统,病毒的症状消失,被更名后的病毒成了僵尸。删除掉病毒文件,删除病毒建立的启动项。可以查看隐藏文件,超级兔子魔法设置可以启动了,瑞星杀毒软件还是不能启动。
删除后重新安装瑞星杀毒,提示病毒基本库安装错误,继续安装完成后,瑞星杀毒不能运行。安装卸载反复几次,瑞星就是不能正常工作。安装过程中提示有错误,安装完成后,不能自动启动,双击Rav.exe文件,提示系统找不到文件D:\Siring\Rav\Rav.exe。
记得我在病毒工作的时候,打开过几次瑞星杀毒软件所在的目录,都是一闪而过,被病毒关掉了,并且病毒在D:盘的根目录下建立了一个隐藏文件,记录了瑞星杀毒软件的一些基本信息(病毒建立的文件被我删除了,忘了记录文件名和内容,只记得文件里面有记录了瑞星杀毒软件的文件夹位置等信息)。想到病毒是不是向注册表里写了什么东西,禁止瑞星的正常运行或重装。
于是彻底卸载瑞星杀毒,重新启动系统,用优化大师清理了注册表,重新安装瑞星软件,并更改了安装目录文件夹名为“D:\瑞星杀毒\瑞星”,到此,瑞星杀毒安装成功。上网,更新病毒库,杀毒,又在C:\Documents and Settings\***\Local Settings\Temp\下发现05AE9FE4.exe文件,报告是Worm.Pabug.dc病毒,还在C:\windows\Help下发现文件名为05AE9FE4.chm的病毒。
上网搜索05AE9FE4.exe没有搜索结果,估计05AE9FE4字符串是随机产生的。删除两个病毒后,杀毒结束。
四 总结:通过更改病毒文件名,使系统重新启动时不能关联病毒,把病毒变成僵尸,终于杀掉病毒。杀毒软件在病毒面前好像不堪一击,最后连重新安装都困难。可见杀毒软件还要加强。
Worm.Pabug.dc是Worm.Pabug病毒的最新变种,病毒随机生成8位数的病毒文件名,无法按病毒的文件名来查杀病毒。只能查看启动项来杀灭病毒,这里要称赞一下SREng软件。我的安全模式进不去也是用SREng软件修复的。
本文来自: 脚本之家(www.jb51.net) 详细出处参考:http://www.jb51.net/article/10280.htm
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。