cuiyi's blog(崔毅 crazycy)
          

          記錄點滴 鑒往事之得失 以資于發(fā)展 
          

          

          


          		
	
          

          

          
	
          
		
			
          
				數(shù)據(jù)加載中……
			
          
		          		
		
			
          
				
					
	
          
		
          
			oso & kabuwj & severe & conime & 美女病毒 & 重要文件.exe : 通過移動設(shè)備引發(fā)的血案
		
          
		
          
		用了2天的時間,終于把這一系列病毒殺光光,方法總結(jié)如下,以饗后中招者。
          

          
1 采用ProcessExplorer殺掉如下進(jìn)程這個是最有效的方式
          
   要采用"kill process tree"項
          

          severe
          
kabuwj
          
conime
          

          
          注解:
          
          

          ProcessExplorer是由Sysinternals 公司出品的優(yōu)秀的進(jìn)程查看工具,雖然它不能顯示隱藏進(jìn)程,但是由于它直觀、清晰的進(jìn)程查看方式,成為了在分析問題的時候使用率頗高的軟件. 
          
 
          
2 采用autoruns刪掉被病毒屏蔽的軟件
          

          

          

          

severe
          
kabuwj          

          

          

          

          
同時,把autoruns的HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下的所有進(jìn)程全部刪掉
          

          
注解:
          
Sysinternals公司出品,可查看、刪除注冊表及Win.ini文件等處的自啟動項目。如果懷疑有木馬或病毒或者系統(tǒng)啟動太慢,用本工具看看自啟動項吧。 此新版中,可查看各個用戶的啟動項,而且刪除 Userinit 項目時會發(fā)出安全警告,以及其它一些改進(jìn),推薦更新! 
          

          
3 采用killbox刪掉進(jìn)程對應(yīng)的文件
          

          

          

          

c:
>
windows\system32\severe.exe
          
c:          
>
windows\system32\kabuwj.exe
          
c:          
>
windows\system32\kabuwj.dll 
          
c:          
>
windows\system32\conime.exe
          
如果刪除不掉的如dll,請選擇重起時刪除的選項
          
          

          

          

          

          
4在開始菜單的運行中輸入regedit啟動注冊表
          

          
利用查找功能刪除severe.exe、oso.exe、kabuwj.exe、conime.exe
          
注意:如果出現(xiàn)諸如C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL OSO.exe 之類的,請刪除OSO.exe
          

          
5運行usbcleaner再次殺毒
          

          
          6系統(tǒng)修復(fù)與清理
          

          
在注冊表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
          
建議將原CheckedValue鍵刪除,再新建正常的鍵值:"CheckedValue"=dword:00000001
          

          


          
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]  
          
NoDriveTypeAutoRun鍵的值,是否要改,要改為什么,視乎各人所需,一般默認(rèn)為91(十六進(jìn)制的)此鍵的含義,請搜索網(wǎng)上資料,在此不再贅述          

          

          
HOSTS文件的清理可以用記事本打開%systemroot%\system32\drivers\etc\hosts,清除被病毒加入的內(nèi)容,正確的文件如下:
          
127.0.0.1       localhost          


          
          

          

		
          
		
          
			posted on 2007-03-15 21:35 crazycy 閱讀(2502) 評論(2)  編輯  收藏  所屬分類: 常用工具插件 
		
          
	
          
	
	


	


          
	    
    


          

          評論
          
	
	
			
          
				
          
					# re: oso & kabuwj & severe & conime & 美女病毒 & 重要文件.exe : 通過移動設(shè)備引發(fā)的血案  回復(fù)  更多評論
					  
				
          
				13日中過一次,上網(wǎng)只有兩個帖子,沒有辦法,重裝。

          19日又中了,上網(wǎng)搜到了這個帖子,按照方法一步一步操作,殺毒成功。

          感謝樓主分享經(jīng)驗,謝謝!
				
          
					2007-03-19 12:51 | thunderson
				
          
			
          
		
			
          
				
          
					# re: oso & kabuwj & severe & conime & 美女病毒 & 重要文件.exe : 通過移動設(shè)備引發(fā)的血案[未登錄]  回復(fù)  更多評論
					  
				
          
				謝謝樓主的高招呵呵!還有個問題咨詢一下,我根據(jù)這幾個步驟查殺了病毒,但一不小心不知把哪個系統(tǒng)文件刪除了,現(xiàn)在控制面板的“外觀和主題”的修改“顯示”功能無法使用,每次點擊都跳出一個空的“C:\WINDOWS\system32\rundll32.exe”文件夾,請問該怎樣解決阿,再次感謝:)
				
          
					2007-04-12 19:04 | 新手上路
				
          
			
          
		

          





          








          

				
			
          
		          		
	
          
	
          
		
			

		
	
          

          


    







          
        
	




主站蜘蛛池模板:
峨山|
赤城县|
安福县|
都安|
吴忠市|
皮山县|
衡东县|
宝坻区|
阜南县|
来凤县|
吉木萨尔县|
仙居县|
武夷山市|
淅川县|
思茅市|
玉溪市|
马尔康县|
兴海县|
城固县|
揭阳市|
南宁市|
洞头县|
正蓝旗|
静宁县|
桐梓县|
连云港市|
张家口市|
石屏县|
金湖县|
图木舒克市|
伊春市|
仪陇县|
盐山县|
肥城市|
沾益县|
清原|
敦化市|
重庆市|
丰镇市|
黄浦区|
英吉沙县|