cuiyi's blog(崔毅 crazycy)

记录点滴 鉴往事之得失 以资于发展
数据加载中……

oso & kabuwj & severe & conime & 美女病毒 & 重要文件.exe : 通过移动设备引发的血案

用了2天的时间,终于把这一系列病毒杀光光,方法总结如下,以飨后中招者。

1 采用ProcessExplorer杀掉如下进程这个是最有效的方式
   要采用"kill process tree"项
severe
kabuwj
conime

注解:
ProcessExplorer是由Sysinternals 公司出品的优秀的进程查看工具,虽然它不能显示隐藏进程,但是由于它直观、清晰的进程查看方式,成为了在分析问题的时候使用率颇高的软件. 
 
2 采用autoruns删掉被病毒屏蔽的软件
severe
kabuwj

同时,把autoruns的HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下的所有进程全部删掉

注解:
Sysinternals公司出品,可查看、删除注册表及Win.ini文件等处的自启动项目。如果怀疑有木马或病毒或者系统启动太慢,用本工具看看自启动项吧。 此新版中,可查看各个用户的启动项,而且删除 Userinit 项目时会发出安全警告,以及其它一些改进,推荐更新!

3 采用killbox删掉进程对应的文件
c: > windows\system32\severe.exe
c:
> windows\system32\kabuwj.exe
c:
> windows\system32\kabuwj.dll 
c:
> windows\system32\conime.exe
如果删除不掉的如dll,请选择重起时删除的选项

4在开始菜单的运行中输入regedit启动注册表

利用查找功能删除severe.exe、oso.exe、kabuwj.exe、conime.exe
注意:如果出现诸如C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL OSO.exe 之类的,请删除OSO.exe

5运行usbcleaner再次杀毒

6系统修复与清理

在注册表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
建议将原CheckedValue键删除,再新建正常的键值:"CheckedValue"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 
NoDriveTypeAutoRun键的值,是否要改,要改为什么,视乎各人所需,一般默认为91(十六进制的)此键的含义,请搜索网上资料,在此不再赘述


HOSTS文件的清理可以用记事本打开%systemroot%\system32\drivers\etc\hosts,清除被病毒加入的内容,正确的文件如下:
127.0.0.1       localhost

posted on 2007-03-15 21:35 crazycy 阅读(2019) 评论(2)  编辑  收藏 所属分类: 常用工具插件

评论

# re: oso & kabuwj & severe & conime & 美女病毒 & 重要文件.exe : 通过移动设备引发的血案  回复  更多评论   

13日中过一次,上网只有两个帖子,没有办法,重装。
19日又中了,上网搜到了这个帖子,按照方法一步一步操作,杀毒成功。
感谢楼主分享经验,谢谢!
2007-03-19 12:51 | thunderson

# re: oso & kabuwj & severe & conime & 美女病毒 & 重要文件.exe : 通过移动设备引发的血案[未登录]  回复  更多评论   

谢谢楼主的高招呵呵!还有个问题咨询一下,我根据这几个步骤查杀了病毒,但一不小心不知把哪个系统文件删除了,现在控制面板的“外观和主题”的修改“显示”功能无法使用,每次点击都跳出一个空的“C:\WINDOWS\system32\rundll32.exe”文件夹,请问该怎样解决阿,再次感谢:)
2007-04-12 19:04 | 新手上路

只有注册用户登录后才能发表评论。


网站导航: