任务管理器中出现一个随机数字加 xeex.exe的进程,360及部分知名杀毒软件无法打开,杀毒软件的网页无法访问,并且该病毒能够感染应用程序。清除方法如下:
1.断网,在任务管理器中结束随机数字+xeex.exe的进程,并删除文件,然后清空临时文件夹temp与IE临时缓存文件夹Temporary Internet Files
2.删除以下文件:
c:\docume~1\admini~1\locals~1\temp\tmp.tmp
c:\windows\fonts\a97cracb.fon
c:\windows\system\ming9b090423.exe
c:\windows\system\nb9ming32c090423.dll
c:\windows\system32\08223b03.dll
c:\windows\system32\122b901e.dll
c:\windows\system32\2ef0d734.dll
c:\windows\system32\2exjw3dsatgwrf5uapadmhn.dll
c:\windows\system32\bprbasgvesmzhrfu3afb.inf
c:\windows\system32\btmband89jc9pspq5eknj.inf
c:\windows\system32\cduauvkgy9.dll
c:\windows\system32\cwcqnwxhjwqte6psyyee.inf
c:\windows\system32\dhdhws7ffw.dll
c:\windows\system32\dmvjfcdsge5kccsmc6gzfjb.inf
c:\windows\system32\drivers\pcidump.sys
c:\windows\system32\emqzjjurmfvkrkex9gj.inf
c:\windows\system32\fsmby3kmwnag5grbwggu.inf
c:\windows\system32\fxnee8ue86dau4wwqsw.inf
c:\windows\system32\je9hr9nedwpyacken42c.inf
c:\windows\system32\ndxq9awmc.dll
c:\windows\system32\nxe2grrknzf9dxykmqg.inf
c:\windows\system32\p6vyqtqjuya3rfan7j.inf
c:\windows\system32\perrgx5dkqsbqdwaucrqh.dll
c:\windows\system32\qfk6ys52myexkxpwmdmhq.inf
c:\windows\system32\qqyq7452eavkmqdnr.inf
c:\windows\system32\s5ksrtwdf35ew9f2kbdf.inf
c:\windows\system32\scevfjrcmab7.dll
c:\windows\system32\updater.exe
c:\windows\system32\w8mvnsbgccw52xyxv8wq.inf
c:\windows\system32\wmitpfs.dll
c:\windows\system32\x5t4kv8dnmmbdrxaux82k.inf
c:\windows\system32\z6fvkef47hupzgaxee.inf
c:\windows\tasks\2vefnvqbcyfhkuaxtve9.inf
c:\windows\tasks\c2nh4numz9kny5zqnc.inf
c:\windows\tasks\efepead4zpvmuxrdbs.inf
c:\windows\tasks\jjx5r8wnsqunnxgwpwn.inf
c:\windows\tasks\txpsquxathx8qtr6s6yn.inf
c:\windows\tasks\ygfdvuegeqm9fhy5rnn.inf
同时从其它电脑上拷贝或从网上下载正常文件覆盖以下可能被病毒替换的文件:
c:\windows\system32\comres.dll(有点象猫癣木马)
c:\windows\system32\appmgmts.dll
c:\windows\system32\mspmsnsv.dll
c:\windows\system32\userinit.exe
3.使用SREng修复下面各项:
启动项目 -- 注册表之如下项删除(大部分都是随机的文件名,可根据文件名长度与含义及文件创建、修改时间查找):
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<updater><C:\WINDOWS\system32\updater.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<ming9bstart><C:\WINDOWS\system\ming9b090423.exe>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{A2BCFCEE-C939-433F-A32A-7353A6E720DB}><C:\WINDOWS\Tasks\JJX5r8wnsqUnNxGwpwn.inf>
<{D36A1DF7-6582-4160-B925-59A34E39FE30}><C:\WINDOWS\system32\EMQzJJURMfVkrkEx9GJ.inf>
<{20CFDC59-228C-481F-80B6-404BCFA16B13}><C:\WINDOWS\system32\Je9hR9NedWPyAckEN42c.inf>
<{B6C3510F-2666-496B-A46F-6EEFD6328C2B}><C:\WINDOWS\Tasks\txPsQUxAThX8QTR6s6Yn.inf>
<{7488E47D-E8F3-41C0-B2DA-9B2BD8803A80}><C:\WINDOWS\Tasks\EfEPEaD4ZpVMUXrDbS.inf>
<{51716C09-6B08-4CCF-B526-718E912C0573}><C:\WINDOWS\system32\PERrGx5DkqSbQdwauCRQH.dll>
<{122B901E-493F-4AD9-BC69-7DE8C3E52FCC}><C:\WINDOWS\system32\122B901E.dll>
<{74DA2FEC-F68F-4DC7-9A45-9174AC044427}><C:\WINDOWS\system32\z6FVkEF47huPzgaXee.inf>
<{C20C5A13-4DD7-40D9-90B4-700BAB0BBBE9}><C:\WINDOWS\system32\S5kSrtwDf35EW9f2kBDF.inf>
<{6049BC02-7EDA-4C41-B4AB-D5398607C39E}><C:\WINDOWS\Tasks\yGfdVUegEQm9fhY5rnN.inf>]
<{87DE8A1A-96C5-4420-B222-EF998F697CE7}><C:\WINDOWS\system32\2exJW3dsaTgWrf5uAPadmHN.dll>
<{9C20D654-5AF8-4DB7-A125-1A17D7065C73}><C:\WINDOWS\system32\QQyQ7452eAVkMqdNR.inf>
<{B7F1BFDC-4B6C-4E2F-AF7A-638D2D47802C}><C:\WINDOWS\system32\FsmBY3kmWnAG5gRbwGgU.inf>
<{08223B03-1B38-4A33-A83A-A4D3CC1D6E4E}><C:\WINDOWS\system32\08223B03.dll>
<{8708994F-1758-4C2C-9A3F-FA22D6CCCB41}><C:\WINDOWS\fonts\A97CRaCB.fon>
<{36AC68E6-0C26-4D39-B98E-54B49DAB6BAA}><C:\WINDOWS\system32\dhDhwS7fFW.dll>
<{C07B914B-C164-42D2-9838-1422C3F70D99}><C:\WINDOWS\system32\BPRBASgvesMzHRfu3AfB.inf>
<{7938BD2F-0143-4C46-991C-71069712D9D9}><C:\WINDOWS\system32\DMvJFcDsGe5Kccsmc6gZFjB.inf>
<{CD478099-014D-4B3A-A4BB-B518F1019BC7}><C:\WINDOWS\system32\SCEVFJRCmaB7.dll>
<{335A9BAE-19FA-42F2-AFD2-20C3275EF392}><C:\WINDOWS\system32\qfK6YS52MyExkxpwMDmHq.inf>
<{23DA65D2-C696-4EE4-BEE8-B4841DEC3E30}><C:\WINDOWS\system32\ndxq9awMc.dll>
<{2EF0D734-21FD-4225-A1A2-BCD296182AAF}><C:\WINDOWS\system32\2EF0D734.dll>
<{0DCB6565-A9F9-41CA-97E1-65F4A6345F3E}><C:\WINDOWS\Tasks\2VeFNvQbcyFhKUaXTVE9.inf>
<{CE38B9E6-AF0C-4B93-AFAB-A20C2311FFD0}><C:\WINDOWS\system32\X5T4kV8DNmMbdRXAUx82K.inf>
<{B7D21764-31A1-4B15-B975-8AAA398CE07F}><C:\WINDOWS\system32\FXNEE8UE86dAU4wwQSW.inf>
<{E16EA4C8-040B-4A12-A0F5-783963AD665D}><C:\WINDOWS\system32\P6VyQtQJUYa3rFan7J.inf>
<{1719B301-B494-4185-9379-242461F9CF02}><C:\WINDOWS\system32\BtmBAnd89jc9PsPq5EKNj.inf>
<{B9D0F4D7-C809-4C27-9CB4-63201DFB3D05}><C:\WINDOWS\Tasks\c2nH4numz9knY5zqnC.inf>
<{3DCB9005-ABA0-47F8-8C40-49ABC04AE5EE}><C:\WINDOWS\system32\W8MvNsbGCCW52XyxV8wQ.inf>
<{93DA1E7D-7C46-4F90-8674-EC90511FCA72}><C:\WINDOWS\system32\CDuAUVkGy9.dll>
<{8A6A5B34-D995-4C5D-9338-B5E264B4A87}><C:\WINDOWS\system32\nXe2grrKNzF9dxYKmqg.inf>
<{CB661471-055A-4C5B-9ED0-497B9908FEF5}><C:\WINDOWS\system32\CWcQnWxHjWqtE6PsYyEe.inf>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
<360rpt.exe><ntsd -d> (360)
<360safe.exe><ntsd -d>
<ast.exe><ntsd -d> (超级巡警)
<avguard.exe><ntsd -d>(AVG)
<avp.exe><ntsd -d>(卡巴斯基)
<egui.exe><ntsd -d>(NOD32)
<ekrn.exe><ntsd -d>
<kavstart.exe><ntsd -d>(金山)
<KVMonXP.kxp><ntsd -d> (江民)
<MPMon.exe><ntsd -d>(微点,不知道是否开着防御病毒能否进入IFEO)
<MPSVC.exe><ntsd -d>
<RavMonD.exe><ntsd -d>(瑞星)
<修复工具.exe><ntsd -d>
……
(映像劫持IFEO项太多,不一一列出,它们在SREng注册表启动项中将以红色标出,需全部删除,否则杀毒软件都无法运行)
启动项目 -- 服务 -- Win32服务应用程序之如下项禁用:
[WMITPFS Service / wmitpfs] <C:\WINDOWS\system32\svchost.exe -k wmitpfs-->%windir%\system32\wmitpfs.dll>
启动项目 -- 服务-- 驱动程序之如下项禁用:
[pcidump / pcidump] <\??\C:\WINDOWS\system32\drivers\pcidump.sys>
4.除以上正在运行的文件外,还可能有其它病毒释放的文件和下载的木马存在,可下载windows清理助手辅助查杀(至少清理助手还没有被劫持),如果以上注册表的映像劫持项被删除,还可以使用360清理病毒和木马,最后还是要升级杀毒软件进行全盘扫描杀毒,修复可能被感染的应用程序,如果未升级,可能导致被感染的文件直接被删除而不是清除修复。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/504.html
