一.症状分析:1.每个盘的根目录有auto.exe,autorun.inf生成.2.在windows下生成如下后缀名为.exe病毒程序. 3.在system32下生成如下.病毒文件:(不包括drivers文件夹) 4.病毒加载的启动项如下: 5.病毒加载到注册.表中run启动项的图示: 6.病毒运行后.生成如下服务: (注册表中.服务位置:a.HKEY_USERSS-1-5-18SYSTEMCurrentControlSetServices1EC3AEb.HKEY_USERS.DEFAULTSYSTEMCurrentControlSetServices1EC3AEc.HKEY_LOCAL_MACHINESYSTEMControlSet001Services1EC3AEd.HKEY_CURRENT_USERSYSTEMCurrentControlSetServices1EC3AEe.HKEY_LOCAL_MACHINESYS.TEMCurrentControlSetServices1EC3AE)7.病毒.dll文件注入到explorer.exe线程图示: 8.病毒下载添加到IE临时文件中(路径:右击IE看属性哪里看.临时文件目录,我更改后在这个位置:D:IE临时文件Temporary Internet Files)9.病毒还可能存在的注册表位置:HKEY_CURRENT_USERSoftwareMicrosoftWindowsShellNoRoamMUICache中.二.解决方法:1.断网.2.结束explorer.exe(因为病毒文件注入到explorer.exe线程,所有.杀毒都需要在结束explorer.exe后进行,我们查看文件就通过"ctrl+alt+del"或者"ctrl+alt+esc"调出任务管理器来进行病毒查杀操作).3.先在任务管理器的新建运行中输入"services.msc"打开服务,找到711EC3AE先禁用,然后在运行中输入"regedit"搜索"711EC3AE"找到删除,或者看上面分析中的路径直接找到删除.4.通过任务管理器新建运行输入msconfig -5然后把下面隐藏微软服务的勾打上,看这里新增加的服务,找到禁用.然后看系统配置实用程序的启动项,把那些启动的病毒程序勾去掉,(具体如上图所示)还是通.过任务管理器进去删除上面图示的所有病毒文件.5.同理在任务管理器新建运行中输入"regedit"找到"HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun"然后删除.再找到这里查看一下右侧:HKEY_CURRENT_USERSoftwareMicrosoftWindowsShellNoRoamMUICache(病毒在这里也有残留)6.在任务管理器中新建运行中点浏览找上面分析的各盘病毒文件用"shift+delete"删除.(比如:windows,system32下面的病毒文件,还有各盘的auto.exe,autorun.inf.)7.然后重启电脑后再运行"%temp%清理一下临时文.件,再清理一下IE临时文件和cookies文件.(路径:右击IE属性查看可找到具体位置)8.最后把时间更改过来.(注:杀毒中间不能加载explorer.exe这个进程,不然病毒会死灰复燃.)三.批处理查杀病毒(朋友编写):把下面内容复制到记事本中将.txt更改后缀名为.cmd,双击运行第二个自动查杀,.如有清理不了的,我们可以借助快捷键打开任务管理器到具体路径再手工清理一下.) 1.cmdtskill iexploretskill explorertskill run.dll32del/a/s/f/q c:autorun.infdel/a/s/q/f c:auto.exedel/a/s/f/q d:autorun.infdel/a/s/q/f d:auto.exedel/a/s/f/q e:autorun.infdel/a/s/q/f e:auto.exedel/a/s/f/q f:autorun.infdel/a/s/q/f f:auto.exedel/a/s/f/q g:autorun.infdel/a/s/q/f g:auto.exe%0kill.cm.d(文件名)tskill iexploretskill explorertskill rundll32sc config 711EC3AE start= DISABLED net stop 711EC3AEstart 1.cmddel/a/s/f/q %temp%.del/a/s/f/q c:windowstasks*.jobc:cddel/a/s/f/q *.logdel/a/s/f/q 4a5a.c860.*del/a/s/f/q avpsrv.*del/a/s/f/q c269d4ca.*del/a/s/f/q cmdbcs.*del/a/s/f/q dh2104.*del/a/s/f/q mosou.*del/a/s/f/q mstmms32.*del/a/s/f/q nwizdh.*del/a/s/f/q nwizqjsj.*del/a/s/f/q nwizwlwzs.*del/a/s/f/q nwizwmgjs.*del/a/s/f/q nwizzhuxians.*del/a/s/f/q thumbs.dbdel/a/s/f/q timhost.*del/a/s/f/q winform.*del/a/s/f/q ztinetzt.*del/a/s/f/q k111970574213.exedel/a/s/f/q k111970678313.exedel "C:Documents and SettingsAll Users「开始」菜.单程序启动*.*" /q /fdel "C:Documents and SettingsDefault User「开始」菜单程序启动*.*" /q /fdel "%userprofile%「开始」菜单程序启动*.*" /q /freg delete HKEY_USERSS-1-5-18SYSTEMCurrentControlSetServices1EC3AE /va /freg delete HKEY_USERS.DEFAULTSYSTEMCurrentControlSetServices1EC3AE /va /freg delete HKEY_LOCAL_MACHINESYSTEMControlSet001Services1EC3AE /va /freg delete HKEY_CURRENT_USERSYSTEMCurrentControlSetServices1EC3AE /va /freg delete HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices1EC3AE /va /freg delete HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun /va /freg delete HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun /va /freg add HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun /v ctfmon.exe /d C:WINDOWSsystem32ctfmon.exe(注:1.HKEY_CURRENT_USERSoftwareMicrosoftWindowsShellNoRoamMUICache的快照。。用户手工去清除一下。2.杀毒后,清理一下IE临时文件和cookies,)
标签:autorun,专杀
