病毒安全知识,电脑网络技术,手工杀毒方法,答疑解决笔记

导航

« 苹果工具条之继续篇应用程序正常初始化失败一例 »

清除1.exe、kqokq.exe等病毒

  检查某电脑时,发现硬盘各分区下都出现了autorun.inf与1.exe,任务管理器中出现kqokq.exe可疑进程,电脑整体运行缓慢。结束kqokq.exe进程后尝试删除autorun.inf与1.exe,但1.exe不能直接被删除,从任务管理器中结束explorer.exe后,再从任务管理器菜单-文件-新建任务(运行...)浏览框中删除1.exe成功,然而重新运行explorer.exe后,autorun.inf与1.exe又再次出现。在试图清理临时文件时,发现c:\windows\temp\有一个explorer.exe,与c:\windows下的explorer.exe大小有差异,怀疑c:\windows\explorer.exe被病毒替换,为保险起见,从c:\windows\system32\dllcache备份文件夹中拷explorer.exe到c:\windows下覆盖(为保证覆盖完成,先从任务管理器中结束explorer.exe,再从其执行新任务的窗口中实现操作)。

  经过上述操作,autorun.inf与1.exe可以删除了,为防再生,在各分区下先手动创建一个文件夹,命名为autorun.inf。但事情并没有完,通过使用SREng检查,发现AppInit_Dlls被篡改,并在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellExecuteHooks下插入很多病毒文件启动项,位于c:\windows\system32和c:\windows\fonts中,还有一个病毒服务项,就是kqokq.exe。

  c:\windows\system32中的病毒文件很好辨认,都是字母与数字的随机组合,而且文件名长度很长,最长的有15位,基本都是dll文件类型,因为是随机的,就不列举了,辨认时除了看文件名外,还要注意文件创建时间与修改时间,这些文件都是同一时间创建与修改的,很容易区分出来,而且为了隐蔽自己,还把自己加上隐藏与系统属性,结果反而与system32中的正常文件格格不入(如你有类似情况又没把握,建议备份后删除)。删除我使用了powerrmv,它具有批量强制删除文件和抑制删除对象再生的功能。这些文件中确实有无法直接删除的,但powerrmv就能处理,会显示”重启后删除“。

  而另一处c:\windows\fonts中的就没那么好找了,直接进入fonts文件夹,或通过powerrmv的浏览,都看不到这些文件,只能看到字体文件。但我找到另一方法,用winrar,打开winrar进入fonts文件夹,按时间排个序,病毒都暴露出来了,字体文件一般时间都是较早的,而病毒文件基本都是新的时间,这些病毒文件为tif与fon(这可不是图片文件与字体文件)格式,从winrar中也能执行删除,但fon后缀的病毒删不了。不要紧,把文件名复制下来,加上路径,填入powerrmv的删除框,一样可以删除。

  这些删除完,包括那个服务文件kqokq.exe,重启电脑,再运行SREng,删除所有注册表与服务中与上述文件相关的项目,OK,电脑运行顺畅多了。


>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/471.html

发表评论(无须注册,所有评论在审核通过后显示):

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

  • 微信订阅号
    微信订阅

最新发表

最新评论及回复

本站出现的所有广告均不代表本人及本站观点立场 | 关于我 | 网站地图 | 联系邮箱 | 返回顶部
Copyright 2008-2020 www.stormcn.cn. All Rights Reserved. Powered By Z-Blog. 闽ICP备09000343号

闽公网安备 35010202000133号