cuiyi's blog（崔毅 crazycy）

記錄點(diǎn)滴鑒往事之得失以資于發(fā)展

數(shù)據(jù)加載中……

oso & kabuwj & severe & conime & 美女病毒 & 重要文件.exe ：通過移動設(shè)備引發(fā)的血案

用了2天的時間，終于把這一系列病毒殺光光，方法總結(jié)如下，以饗后中招者。

1 采用ProcessExplorer殺掉如下進(jìn)程，這個是最有效的方式
要采用"kill process tree"項(xiàng)

severe

kabuwj

conime

注解：

ProcessExplorer是由Sysinternals 公司出品的優(yōu)秀的進(jìn)程查看工具，雖然它不能顯示隱藏進(jìn)程，但是由于它直觀、清晰的進(jìn)程查看方式，成為了在分析問題的時候使用率頗高的軟件.

2 采用autoruns刪掉被病毒屏蔽的軟件

severe

kabuwj

同時，把a(bǔ)utoruns的HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下的所有進(jìn)程全部刪掉

注解：
Sysinternals公司出品，可查看、刪除注冊表及Win.ini文件等處的自啟動項(xiàng)目。如果懷疑有木馬或病毒或者系統(tǒng)啟動太慢，用本工具看看自啟動項(xiàng)吧。此新版中，可查看各個用戶的啟動項(xiàng)，而且刪除 Userinit 項(xiàng)目時會發(fā)出安全警告，以及其它一些改進(jìn)，推薦更新！

3 采用killbox刪掉進(jìn)程對應(yīng)的文件

c: > windows\system32\severe.exe

c: > windows\system32\kabuwj.exe

c: > windows\system32\kabuwj.dll

c: > windows\system32\conime.exe

如果刪除不掉的如dll，請選擇重起時刪除的選項(xiàng)

4在開始菜單的運(yùn)行中輸入regedit啟動注冊表

利用查找功能刪除severe.exe、oso.exe、kabuwj.exe、conime.exe
注意：如果出現(xiàn)諸如C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL OSO.exe 之類的，請刪除OSO.exe

5運(yùn)行usbcleaner再次殺毒

6系統(tǒng)修復(fù)與清理

在注冊表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
建議將原CheckedValue鍵刪除，再新建正常的鍵值："CheckedValue"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NoDriveTypeAutoRun鍵的值，是否要改，要改為什么，視乎各人所需，一般默認(rèn)為91（十六進(jìn)制的）此鍵的含義，請搜索網(wǎng)上資料，在此不再贅述

HOSTS文件的清理可以用記事本打開%systemroot%\system32\drivers\etc\hosts，清除被病毒加入的內(nèi)容，正確的文件如下：
127.0.0.1 localhost

posted on 2007-03-15 21:35 crazycy 閱讀(2502) 評論(2) 編輯收藏所屬分類: 常用工具插件

# re: oso & kabuwj & severe & conime & 美女病毒 & 重要文件.exe ：通過移動設(shè)備引發(fā)的血案回復(fù) 更多評論

13日中過一次，上網(wǎng)只有兩個帖子，沒有辦法，重裝。
19日又中了，上網(wǎng)搜到了這個帖子，按照方法一步一步操作，殺毒成功。
感謝樓主分享經(jīng)驗(yàn)，謝謝！

2007-03-19 12:51 | thunderson

# re: oso & kabuwj & severe & conime & 美女病毒 & 重要文件.exe ：通過移動設(shè)備引發(fā)的血案[未登錄] 回復(fù) 更多評論

謝謝樓主的高招呵呵！還有個問題咨詢一下，我根據(jù)這幾個步驟查殺了病毒，但一不小心不知把哪個系統(tǒng)文件刪除了，現(xiàn)在控制面板的“外觀和主題”的修改“顯示”功能無法使用，每次點(diǎn)擊都跳出一個空的“C:\WINDOWS\system32\rundll32.exe”文件夾，請問該怎樣解決阿，再次感謝：）

2007-04-12 19:04 | 新手上路

新用戶注冊刷新評論列表


只有注冊用戶登錄后才能發(fā)表評論。




網(wǎng)站導(dǎo)航: 博客園 IT新聞 Chat2DB C++博客博問管理
相關(guān)文章: Eclipse - right-click context menu missing (Build, Refactor, Source) 將Excel的表格格式不變的貼到Gmail的郵件里終于可以在winxp下閱讀chm電子檔了讓Firefox也可以像IE一樣保存mht單一網(wǎng)頁文件 winsta re-install or system file permit control(權(quán)限控制技巧) firefox的絕對有效插件體驗(yàn)積累（包含mht格式的新發(fā)現(xiàn)） oso & kabuwj & severe & conime & 美女病毒 & 重要文件.exe ：通過移動設(shè)備引發(fā)的血案 odbcsvc病毒：讓你的根目錄在新的盤符下打開 Eclipse的一些實(shí)用輔助插件（不斷在使用中補(bǔ)充）

# re: oso & kabuwj & severe & conime & 美女病毒 & 重要文件.exe ：通過移動設(shè)備引發(fā)的血案回復(fù) 更多評論

# re: oso & kabuwj & severe & conime & 美女病毒 & 重要文件.exe ：通過移動設(shè)備引發(fā)的血案[未登錄] 回復(fù) 更多評論

cuiyi's blog（崔毅 crazycy）

oso & kabuwj & severe & conime & 美女病毒 & 重要文件.exe ：通過移動設(shè)備引發(fā)的血案

評論

導(dǎo)航

我參與的團(tuán)隊(duì)

隨筆分類

相冊

積分與排名

最新評論

閱讀排行榜

cuiyi's blog（崔毅 crazycy）

oso & kabuwj & severe & conime & 美女病毒 & 重要文件.exe ： 通過移動設(shè)備引發(fā)的血案

評論

# re: oso & kabuwj & severe & conime & 美女病毒 & 重要文件.exe ： 通過移動設(shè)備引發(fā)的血案 回復(fù) 更多評論

# re: oso & kabuwj & severe & conime & 美女病毒 & 重要文件.exe ： 通過移動設(shè)備引發(fā)的血案[未登錄] 回復(fù) 更多評論

導(dǎo)航

我參與的團(tuán)隊(duì)

隨筆分類

相冊

積分與排名

最新評論

閱讀排行榜

oso & kabuwj & severe & conime & 美女病毒 & 重要文件.exe ：通過移動設(shè)備引發(fā)的血案

# re: oso & kabuwj & severe & conime & 美女病毒 & 重要文件.exe ：通過移動設(shè)備引發(fā)的血案回復(fù) 更多評論

# re: oso & kabuwj & severe & conime & 美女病毒 & 重要文件.exe ：通過移動設(shè)備引發(fā)的血案[未登錄] 回復(fù) 更多評論