cuiyi's blog(崔毅 crazycy)

          記錄點(diǎn)滴 鑒往事之得失 以資于發(fā)展
          數(shù)據(jù)加載中……

          oso & kabuwj & severe & conime & 美女病毒 & 重要文件.exe : 通過移動設(shè)備引發(fā)的血案

          用了2天的時間,終于把這一系列病毒殺光光,方法總結(jié)如下,以饗后中招者。

          1 采用ProcessExplorer殺掉如下進(jìn)程這個是最有效的方式
             要采用"kill process tree"項(xiàng)
          severe
          kabuwj
          conime

          注解:
          ProcessExplorer是由Sysinternals 公司出品的優(yōu)秀的進(jìn)程查看工具,雖然它不能顯示隱藏進(jìn)程,但是由于它直觀、清晰的進(jìn)程查看方式,成為了在分析問題的時候使用率頗高的軟件. 
           
          2 采用autoruns刪掉被病毒屏蔽的軟件
          severe
          kabuwj

          同時,把a(bǔ)utoruns的HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下的所有進(jìn)程全部刪掉

          注解:
          Sysinternals公司出品,可查看、刪除注冊表及Win.ini文件等處的自啟動項(xiàng)目。如果懷疑有木馬或病毒或者系統(tǒng)啟動太慢,用本工具看看自啟動項(xiàng)吧。 此新版中,可查看各個用戶的啟動項(xiàng),而且刪除 Userinit 項(xiàng)目時會發(fā)出安全警告,以及其它一些改進(jìn),推薦更新!

          3 采用killbox刪掉進(jìn)程對應(yīng)的文件
          c: > windows\system32\severe.exe
          c:
          > windows\system32\kabuwj.exe
          c:
          > windows\system32\kabuwj.dll 
          c:
          > windows\system32\conime.exe
          如果刪除不掉的如dll,請選擇重起時刪除的選項(xiàng)

          4在開始菜單的運(yùn)行中輸入regedit啟動注冊表

          利用查找功能刪除severe.exe、oso.exe、kabuwj.exe、conime.exe
          注意:如果出現(xiàn)諸如C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL OSO.exe 之類的,請刪除OSO.exe

          5運(yùn)行usbcleaner再次殺毒

          6系統(tǒng)修復(fù)與清理

          在注冊表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
          建議將原CheckedValue鍵刪除,再新建正常的鍵值:"CheckedValue"=dword:00000001

          [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 
          NoDriveTypeAutoRun鍵的值,是否要改,要改為什么,視乎各人所需,一般默認(rèn)為91(十六進(jìn)制的)此鍵的含義,請搜索網(wǎng)上資料,在此不再贅述


          HOSTS文件的清理可以用記事本打開%systemroot%\system32\drivers\etc\hosts,清除被病毒加入的內(nèi)容,正確的文件如下:
          127.0.0.1       localhost

          posted on 2007-03-15 21:35 crazycy 閱讀(2502) 評論(2)  編輯  收藏 所屬分類: 常用工具插件

          評論

          # re: oso & kabuwj & severe & conime & 美女病毒 & 重要文件.exe : 通過移動設(shè)備引發(fā)的血案  回復(fù)  更多評論   

          13日中過一次,上網(wǎng)只有兩個帖子,沒有辦法,重裝。
          19日又中了,上網(wǎng)搜到了這個帖子,按照方法一步一步操作,殺毒成功。
          感謝樓主分享經(jīng)驗(yàn),謝謝!
          2007-03-19 12:51 | thunderson

          # re: oso & kabuwj & severe & conime & 美女病毒 & 重要文件.exe : 通過移動設(shè)備引發(fā)的血案[未登錄]  回復(fù)  更多評論   

          謝謝樓主的高招呵呵!還有個問題咨詢一下,我根據(jù)這幾個步驟查殺了病毒,但一不小心不知把哪個系統(tǒng)文件刪除了,現(xiàn)在控制面板的“外觀和主題”的修改“顯示”功能無法使用,每次點(diǎn)擊都跳出一個空的“C:\WINDOWS\system32\rundll32.exe”文件夾,請問該怎樣解決阿,再次感謝:)
          2007-04-12 19:04 | 新手上路
          主站蜘蛛池模板: 邯郸市| 太康县| 曲周县| 镇江市| 纳雍县| 大厂| 温州市| 南漳县| 龙门县| 汉中市| 大荔县| 渝中区| 旺苍县| 南江县| 平邑县| 阳城县| 锦屏县| 桑植县| 光泽县| 呼图壁县| 凤庆县| 天长市| 吴旗县| 宜丰县| 武威市| 綦江县| 馆陶县| 蕲春县| 深水埗区| 商丘市| 班玛县| 绍兴县| 高密市| 高台县| 阿克陶县| 微博| 依兰县| 侯马市| 江西省| 昆山市| 满洲里市|