检查某电脑时,发现硬盘各分区下都出现了autorun.inf与1.exe,任务管理器中出现kqokq.exe可疑进程,电脑整体运行缓慢。结束kqokq.exe进程后尝试删除autorun.inf与1.exe,但1.exe不能直接被删除,从任务管理器中结束explorer.exe后,再从任务管理器菜单-文件-新建任务(运行...)浏览框中删除1.exe成功,然而重新运行explorer.exe后,autorun.inf与1.exe又再次出现。在试图清理临时文件时,发现c:\windows\temp\有一个explorer.exe,与c:\windows下的explorer.exe大小有差异,怀疑c:\windows\explorer.exe被病毒替换,为保险起见,从c:\windows\system32\dllcache备份文件夹中拷explorer.exe到c:\windows下覆盖(为保证覆盖完成,先从任务管理器中结束explorer.exe,再从其执行新任务的窗口中实现操作)。
经过上述操作,autorun.inf与1.exe可以删除了,为防再生,在各分区下先手动创建一个文件夹,命名为autorun.inf。但事情并没有完,通过使用SREng检查,发现AppInit_Dlls被篡改,并在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellExecuteHooks下插入很多病毒文件启动项,位于c:\windows\system32和c:\windows\fonts中,还有一个病毒服务项,就是kqokq.exe。
c:\windows\system32中的病毒文件很好辨认,都是字母与数字的随机组合,而且文件名长度很长,最长的有15位,基本都是dll文件类型,因为是随机的,就不列举了,辨认时除了看文件名外,还要注意文件创建时间与修改时间,这些文件都是同一时间创建与修改的,很容易区分出来,而且为了隐蔽自己,还把自己加上隐藏与系统属性,结果反而与system32中的正常文件格格不入(如你有类似情况又没把握,建议备份后删除)。删除我使用了powerrmv,它具有批量强制删除文件和抑制删除对象再生的功能。这些文件中确实有无法直接删除的,但powerrmv就能处理,会显示”重启后删除“。
而另一处c:\windows\fonts中的就没那么好找了,直接进入fonts文件夹,或通过powerrmv的浏览,都看不到这些文件,只能看到字体文件。但我找到另一方法,用winrar,打开winrar进入fonts文件夹,按时间排个序,病毒都暴露出来了,字体文件一般时间都是较早的,而病毒文件基本都是新的时间,这些病毒文件为tif与fon(这可不是图片文件与字体文件)格式,从winrar中也能执行删除,但fon后缀的病毒删不了。不要紧,把文件名复制下来,加上路径,填入powerrmv的删除框,一样可以删除。
这些删除完,包括那个服务文件kqokq.exe,重启电脑,再运行SREng,删除所有注册表与服务中与上述文件相关的项目,OK,电脑运行顺畅多了。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/471.html
