-
Linabbs's blog- Windows 7 Beta ISO leaked on torrent trackers
- Windows 7 Build 6956 镜像 激活工具 汉化补丁下载
- [Active] rundll32.exe issues
- [Resolved] Wont let me customize backround?
- [Resolved?] running slow
- how to cleane ?Perflib_Perfdata_???.dat?
- infosteale.gampass (sychost.exe) - norton keeps finding it?
- Trojan/virus prefenting access to all anti-virus web sites
- [Active] win32/tenga.gen virus - it took over
- [Active] Google Jump Redirect Virus
Dec
19
Worm.Win32.VB.fw
Filed Under Virus |
同学说他的笔记本电脑中毒了,很严重,我去将其解决,保留了样本,又顺便测试了一下。清除这只病毒除了windows自带的工具没使用其他任何工具,分析如下:
一、中毒症状:
老是弹出“Windows文件保护”的对话框,任务管理器与cmd被病毒替换,“文件夹选项”消失,盘符双击在新窗口打开,卡巴报毒Worm.Win32.VB.fw,但就是杀不掉。
二、病毒行为:
1、病毒运行后衍生的病毒文件:
%system32%\systeminit.exe
%system32%\winsystem.exe
%system32%\wininit.exe
X:\kerneldrive.exe
X:\autorun.inf
(其中X表示相应的盘符,不过移动盘根目录下的病毒文件为handydriver.exe与autorun.inf)
2、修改注册表,以随机启动:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wininit
键值:字串:”C:\WINDOWS\system32\wininit.exe”
3、替换任务管理器taskmgr.exe与cmd.exe为病毒自身,禁用任务管理器,隐藏“文件夹选项”。
三、清除方案:
1、从正常电脑上拷贝任务管理器taskmgr.exe与cmd.exe文件到中毒电脑上。
2、结束病毒进程wininit.exe:
直接运行cmd.exe输入命令tasklist查看进程列表,输入taskkill /pid xxx结束病毒进程。(xxx表示病毒进程对应的pid号)
3、运行”gpedit.msc”打开组策略:
恢复“文件夹选项”,按步骤执行:
用户配置-管理模板-Windows组件-WIindows资源管理器-从“工具”菜单删除“文件夹选项”菜单-已禁用-确定。
恢复“任务管理器”,按步骤执行:
用户配置-管理模板-系统-Ctrl+Alt+Del选项-删除“任务管理器”-已禁用-确定。
4、用正常的taskgmr.exe与cmd.exe文件覆盖%system32%下被病毒替换的taskmgr.exe与cmd.exe文件。
5、显示隐藏的病毒文件,按步骤执行:
我的电脑-菜单栏-工具-文件夹选项-查看-勾去“隐藏受保护的操作系统文件(推荐)”-勾选“显示所有文件和文件夹”-确定。
6、删除病毒文件:
%system32%\systeminit.exe
%system32%\winsystem.exe
%system32%\wininit.exe
X:\kerneldrive.exe
X:\autorun.inf
(注意:删除病毒文件时,千万不要双击打开盘符以免激活病毒,可以通过地址栏或资源管理器进入相应盘符。)
7、分别以关键字systeminit.exe,winsystem.exe,wininit.exe,kerneldrive.exe,handydriver.exe搜索注册表,删除相应键值。最后建议用魔法兔子进行垃圾清理.
Related Posts:
Comments
Leave a Reply
You must be logged in to post a comment.