硬盘终结者病毒解决办法(附病毒生成物)
在卡饭样本区发现了这个病毒,这个病毒是以一个指向MS-DOS程序的快捷方式形式出现的,而不是exe等可执行文件的形式,这样的话就屏蔽了杀毒软件的右键扫描,如果大意的话是很容易中招的!!运行一下发现行为很恶劣,它会删除你除了系统盘以外所有盘符里的文件,就写了这个病毒报告,一来给大家做个警示!二来对中了这个病毒的人,给出个杀毒、修复和恢复文件的方法!运行后生成以下病毒文件,删除QQ文件,就连QQlive里的文件都给清空了!!(无论你的QQ在哪个盘里,包括系统盘,我的QQ就在系统盘)至于系统盘里还有没有别的文件被删除,现在还没有发现,我的QQ没有完全的删除,因为运行病毒的时候我的QQ正在登录,有些正在使用的文件就没有删除,但重启之后QQ就无法运行了!!
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\svchost.com
C:\WINDOWS\system32\dllcache\taskmgr.exe
C:\WINDOWS\system32\飞越星球.scr
C:\WINDOWS\system32\wins.com
C:\WINDOWS\system32\taskmgr.exe
C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\E_4\krnln.fnr
D:\SVCHOST.EXE
C:\Documents and Settings\Administrator\桌面\警告.h
D:\警告.h
会在你的桌面和除系统盘以外的所以盘根目录下生成这个警告.h文件,这个警告文件里是这样写的:这是在桌面生成的
[img]http://img1.ylmf.com/attachment/Day_080425/294_510538_dcbacaa0418bca3.jpg[/img]
这是在D盘根目录下生成的(出系统盘外,我就有一个D盘^_^)
[img]http://img1.ylmf.com/attachment/Day_080425/294_510538_52b28b04d535e21.jpg[/img]
运行病毒完了就这样了
[img]http://img1.ylmf.com/attachment/Day_080425/294_510538_8b1a9b79efb5584.jpg[/img]
这个时候任务管理器打不开,运行打不开,关机关不了!
[img]http://img1.ylmf.com/attachment/Day_080425/294_510538_d57c77134724ad6.jpg[/img]
下面是这个病毒运行痕迹,用EQ监视的
2008-04-24 20:54:53 运行应用程序 操作:允许
进程路径:C:\WINDOWS\Explorer.EXE
文件路径:D:\硬盘终结者\svchost.bmp.pif
触发规则:所有程序规则->*
2008-04-24 20:55:24 修改文件 操作:允许
进程路径:D:\硬盘终结者\svchost.bmp.pif
文件路径:C:\WINDOWS\system32\taskmgr.exe
触发规则:所有程序规则->系统文件->%WinDir%\system32\*.exe
2008-04-24 20:55:54 修改文件 操作:允许
进程路径:D:\硬盘终结者\svchost.bmp.pif
文件路径:(隐藏文件>C:\WINDOWS\system32\taskmgr.exe
触发规则:所有程序规则->系统文件->%WinDir%\system32\*.exe
2008-04-24 20:56:38 创建注册表值 操作:允许
进程路径:D:\硬盘终结者\svchost.bmp.pif
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:svchost.exe
触发规则:所有程序规则->系统自动运行
>*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*
2008-04-24 20:57:08 修改注册表内容 操作:允许
进程路径:D:\硬盘终结者\svchost.bmp.pif
注册表路径:HKEY_CLASSES_ROOT\txtfile\shell\open\command
注册表名称:[Default]
触发规则:所有程序规则->文件类型关联
>HKEY_CLASSES_ROOT\Txtfile\Shell\Open\Command
2008-04-24 20:57:23 修改注册表内容 操作:允许
进程路径:D:\硬盘终结者\svchost.bmp.pif
注册表路径:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
注册表名称:Hidden
触发规则:所有程序规则->系统设置
>HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
2008-04-24 20:57:34 删除注册表 操作:允许
进程路径:D:\硬盘终结者\svchost.bmp.pif
注册表路径:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden
注册表名称:SHOWALL
触发规则:所有程序规则->系统设置
>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden
2008-04-24 20:58:09 安装服务或者驱动 操作:允许
进程路径:D:\硬盘终结者\svchost.bmp.pif
文件路径:C:\windows\system32\wins.com
触发规则:所有程序规则->*
2008-04-24 20:58:46 修改文件 操作:允许
进程路径:D:\硬盘终结者\svchost.bmp.pif
文件路径:D:\AutoRun.inf
触发规则:所有程序规则->系统文件->?:\autorun.inf
2008-04-24 20:59:26 运行应用程序 操作:允许
进程路径:D:\硬盘终结者\svchost.bmp.pif
文件路径:C:\WINDOWS\system32\logoff.exe
触发规则:所有程序规则->*
2008-04-24 21:00:55 关闭/重启系统 操作:允许
进程路径:C:\WINDOWS\system32\logoff.exe
触发规则:所有程序规则->*
为了让这个病毒运行完整,达到它理想中的破坏目的,我一律允许,包括重启。
重启后就是杀毒和清理、修复依据恢复数据的过程了,重启后红伞打开(因为不把红伞的监控关掉,这个病毒是运行不了的!)马上报毒,开杀!(为了省事就没有手动删除,用红伞全盘扫描,杀掉所有病毒),杀完病毒还得修复病毒对系统的破坏,首先去别的系统里复制一个taskmgr.exe到系统盘的windows\system32文件夹里,然后用SREngPS.exe修复文件关联后,这个文件关联是把txt指向C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe,也就是当你打开txt文件就会激活病毒!再删除这项(见下图)
[img]http://img1.ylmf.com/attachment/Day_080425/294_510538_a93f02542bc8ca0.jpg[/img]
导入“显示隐藏文件.reg”(在附件),因为我用wsyscheck修复显示隐藏文件后,隐藏的文件是显示了,但是文件夹选项里却缺了,显示所有文件和文件夹的这个选项(见下图)
在1里面没有了“显示所有文件和文件夹”的这个选项
2这个是我从来都不选的,它给我选上了^_^
[img]http://img1.ylmf.com/attachment/Day_080425/294_510538_35952a9f455cfb6.jpg[/img]
删除注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN右侧的SVCHOST.EXE键值
删除注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies下的所有子建,然后导入“恢复运行注销项.reg”(在附件)到这里就所有的都修复完毕!重启!(如果在开始菜单还是不能重启的话,就用任务管理器重启,重启后就正常了)还有一点就是如果你的杀软不能完全的杀掉所有生成的病毒,就按照路径手动删除也可以!
重启后就是恢复被病毒删除的文件了,我是用“易我数据恢复向导V2.1.0”恢复的(整整浪费了我一个多小时[img]http://img1.ylmf.com/images/post/smile/1/11.gif[/img]),[color=#ff0000][size=4]但是一定要谨记,不能把恢复的文件恢复到正在恢复文件的盘里,而且也不能把文件恢复到别的需要恢复文件的盘里,(也就是你需要恢复文件的盘里一定不要再往里写入文件,否则会破坏你要恢复的文件,以至于恢复了文件也不可用了!!一定切记!!)[/size][/color]
最后:估计写病毒这哥们是个卖数据恢复软件的,要不怎么对删除文件这么感兴趣?!
[url=http://bbs.ylmf.com/job.php?action=download&pid=tpc&tid=721588&aid=678688][color=#333333]显示隐藏文件.rar[/color][/url]
[url=http://bbs.ylmf.com/job.php?action=download&pid=tpc&tid=721588&aid=678689][color=#333333]恢复运行注销项.rar[/color][/url]
[url=http://bbs.ylmf.com/job.php?action=download&pid=tpc&tid=721588&aid=678718][color=#333333]病毒生成物.part01.rar[/color][/url] [url=http://bbs.ylmf.com/job.php?action=download&pid=tpc&tid=721588&aid=678719][color=#333333]病毒生成物.part02.rar[/color][/url] [url=http://bbs.ylmf.com/job.php?action=download&pid=tpc&tid=721588&aid=678720][color=#333333]病毒生成物.part03.rar[/color][/url] [url=http://bbs.ylmf.com/job.php?action=download&pid=tpc&tid=721588&aid=678721][color=#333333]病毒生成物.part04.rar[/color][/url] [url=http://bbs.ylmf.com/job.php?action=download&pid=tpc&tid=721588&aid=678722][color=#333333]病毒生成物.part05.rar[/color][/url] [url=http://bbs.ylmf.com/job.php?action=download&pid=tpc&tid=721588&aid=678723][color=#333333]病毒生成物.part06.rar[/color][/url] [url=http://bbs.ylmf.com/job.php?action=download&pid=tpc&tid=721588&aid=678724][color=#333333]病毒生成物.part07.rar[/color][/url] [url=http://bbs.ylmf.com/job.php?action=download&pid=tpc&tid=721588&aid=678725][color=#333333]病毒生成物.part08.rar[/color][/url] [url=http://bbs.ylmf.com/job.php?action=download&pid=tpc&tid=721588&aid=678726][color=#333333]病毒生成物.part09.rar[/color][/url] [url=http://bbs.ylmf.com/job.php?action=download&pid=tpc&tid=721588&aid=678727][color=#333333]病毒生成物.part10.rar[/color][/url] [url=http://bbs.ylmf.com/job.php?action=download&pid=tpc&tid=721588&aid=678728][color=#333333]病毒生成物.part11.rar[/color][/url] [url=http://bbs.ylmf.com/job.php?action=download&pid=tpc&tid=721588&aid=678729][color=#333333]病毒生成物.part12.rar[/color][/url] [url=http://bbs.ylmf.com/job.php?action=download&pid=tpc&tid=721588&aid=678730][color=#333333]病毒生成物.part13.rar[/color][/url] [url=http://bbs.ylmf.com/job.php?action=download&pid=tpc&tid=721588&aid=678731][color=#333333]病毒生成物.part14.rar[/color][/url] [url=http://bbs.ylmf.com/job.php?action=download&pid=tpc&tid=721588&aid=678732][color=#333333]病毒生成物.part15.rar[/color][/url] [url=http://bbs.ylmf.com/job.php?action=download&pid=tpc&tid=721588&aid=678733][color=#333333]病毒生成物.part16.rar[/color][/url] [attach]611[/attach]
页:
[1]