一.症状分析:
1.时间被修改为2005年,每个盘的根目录有auto.exe,autorun.inf生成.
2.在windows下生成如下后缀名为.exe病毒程序.
3.在system32下生成如下.病毒文件:(不包括drivers文件夹)
4.病毒加载的启动项如下:
5.病毒加载到注册.表中run启动项的图示:
6.病毒运行后.生成如下服务:
(注册表中.服务位置:
a.HKEY_USERSS-1-5-18SYSTEMCurrentControlSetServices1EC3AE
b.HKEY_USERS.DEFAULTSYSTEMCurrentControlSetServices1EC3AE
c.HKEY_LOCAL_MACHINESYSTEMControlSet001Services1EC3AE
d.HKEY_CURRENT_USERSYSTEMCurrentControlSetServices1EC3AE
e.HKEY_LOCAL_MACHINESYS.TEMCurrentControlSetServices1EC3AE)
7.病毒.dll文件注入到explorer.exe线程图示:
8.病毒下载添加到IE临时文件中(路径:右击IE看属性哪里看.临时文件目录,我更改后在这个位置:D:IE临时文件Temporary Internet Files)
9.病毒还可能存在的注册表位置:HKEY_CURRENT_USERSoftwareMicrosoftWindowsShellNoRoamMUICache中.
二.解决方法:
1.断网.
2.结束explorer.exe(因为病毒文件注入到explorer.exe线程,所有.杀毒都需要在结束explorer.exe后进行,我们查看文件就通过"ctrl+alt+del"或者"ctrl+alt+esc"调出任务管理器来进行病毒查杀操作).
3.先在任务管理器的新建运行中输入"services.msc"打开服务,找到3E228992或711EC3AE先禁用,然后在运行中输入"regedit"搜索“3E228992”或"711EC3AE"找到删除,或者看上面分析中的路径直接找到删除.
4.通过任务管理器新建运行输入msconfig -5然后把下面隐藏微软服务的勾打上,看这里新增加的服务,找到禁用.然后看系统配置实用程序的启动项,把那些启动的病毒程序勾去掉,(具体如上图所示)还是通.过任务管理器进去删除上面图示的所有病毒文件.
5.同理在任务管理器新建运行中输入"regedit"找到"HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun"然后删除.
再找到这里查看一下右侧:HKEY_CURRENT_USERSoftwareMicrosoftWindowsShellNoRoamMUICache(病毒在这里也有残留)
6.在任务管理器中,“新建——运行”中点浏览找上面分析的各盘病毒文件用"shift+delete"删除.(比如:windows,system32下面的病毒文件,还有各盘的auto.exe,autorun.inf.)
7.然后重启电脑后再运行"%temp%清理一下临时文.件,再清理一下IE临时文件和cookies文件.(路径:右击IE属性查看可找到具体位置)
8.最后把时间更改过来.
(注:杀毒中间不能加载explorer.exe这个进程,不然病毒会死灰复燃.)
