8位随机数病毒是属于IEFO病毒的一种，如果机子中了此类病毒，其显著特点就是－－不能打开隐藏和系统文件，进不了安全模式，也无法安装和运行各类相关的杀毒和修复系统的软件（其映象被该木马劫持），更厉害之处是无法在搜索引擎上搜索相关防毒杀毒之类的网页，否则刚打开当前窗口立即被关闭（有时是显示桌面）！并且，在各分区根目录下会多两个文件：一个是8位随机数.exe是autoruns.inf．在Ｃ:\PROGRA~1\COMMON~1\MICROS~1\MSINFO 和C:\Program Files以及C:\WINDOWS\system32\drivers目录下留下两个8位随机数文件（ＤＬＬ文件）。此病毒相当难查杀，并暂时没有简单的相关专杀工具（主要是劫持其映象使其无法直接打开运行），网上已经有不少高手提供的手工查杀方法（http://hi.baidu#/liaohaihai/b ... 3b15b54bedbc5a.html），在此我结合自己实际查杀情况，做一点补充和总结吧。

方法一：

　　如果可以的话，先下载金山出品的“AV终结者”木马专杀查杀全盘，（如果可以运行，那解决问题应该很快的），然后再重装杀毒软件更新后全盘杀毒就行了，并做好补丁工作。若行不通则用下面的方法进行手工查杀。 工具下载:[attach]33598[/attach]

方法二：

　　准备好需要的工具：SREng，autoruns，修复安全模式.reg

　　1. 将sreng下载回来后，运行前先改名（必须改名，不然是无法运行的），打开界面后选择系统修复→高级修复→自动修复，再点修复安全模式．经过几次实验，我发现：实际上，用此方法并不能完全修复所有不能进入安全模式的8位随机病毒的劫持。所以另外要做补充的是，利用seng选择启动项目，删除所以8位随机数．exe／．dll以及相关的项目，之后在服务：win32服务应用程序里，选择隐藏微软已认证的服务，之后删除其他所以的不明服务，即可。

　　2. 运行下的修复安全模式.reg，导入注册表后随即重启，不出意外的话，现在应该可以进入安全模式了。如果不行的话也可先用下这个试试[attach]38967[/attach]。重起后等待起提示结束后再做下面的操作。

　　3.进入安全模式后，将autoruns也改名，然后再运行，选择映像劫持项目，删除除Your Image File Name Here without a pathSymbolic Debugger for Windows 2000 之外的所有项目！（不过我不小心全删了，不过好象也没什么问题，就是不知道有什么后遗症，呵呵）.于其劫持了很多杀毒软件， 手工一项一项的删除可能比较辛苦。不过可以使用快捷键左右按ctrl+d和回车就可以，也蛮快的(我是按的手都酸了 ).

　　4. 上面结束之后运行→regedit并展开注册表:将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL右边的CheckedValue键值设为1，也可以应下面的隐藏文件夹的.reg导入注册表即可[attach]38968[/attach]就可以打开隐藏文件了。然后利用winrar的查看功能(打开一个压缩文件选择查看即可)或者用资源管理器删除个分区目录下的8位随机数.dll/.exe和autoruns.inf文件并删除C:\PROGRA~1\COMMON~1\MICROS~1\MSINFO 下的8位随机数.dll和8位随机数.dat. 将系统临时目录比如C:\Documents and Settings\Administrator\Local Settings\Temp下的各个项目都删除，最后将C:\WINDOWS\Help目录下的8位随机数.chem删除。走到这步就差不多了 ,死木马就要走向终结了.

　　5. 最后重启动后，这时候就可以使用各类杀毒软件了，把病毒库升级到最新后，那就狂杀吧(杀毒软件被其清除的就重装吧 ),在此根据我的试验建议大家先使用“AV终结者”木马查杀工具进行全盘查杀)因为还有不少随机产生的木马和病毒。推荐用360安全卫士先打好系统补丁和做好清理流氓软件的工作后，用瑞星或卡斯巴基杀毒。

工具软件下载:

[attach]33603[/attach]
[attach]33600[/attach]
[attach]33601[/attach]


　　当然，如果你觉得上面的手工杀法太烦琐，又不太明白的话,可以教大家简单的一个方法(我已经试验过):一般用户的话都备份有一键ghost或还原精灵之类的，你要做的就是将系统还原（或重装操作系统）。

　　装完系统后，不要马上打开其他盘符(切记) 然后用Winrar的查看或资源管理器，将其他各个盘符下的8位随机数.dll/.exe和autoruns.inf以及相关的删除就可以了。

　　此类病毒还是留了一手：它没有破坏注册表编辑器regedit的运行,(假如你的注册表被禁用了)可以试下下面的.bat文件作下修复[attach]38969[/attach].还有的就是其没有破坏其他分区的应用程序.exe，没有删除你硬盘的gho文件。你若采取后面的简单方法，相信处理还是很快的。

　　补充软件下载(显示隐藏文件和右击AUTO批处理文件):[attach]33602[/attach](显示隐藏文件有朋友说不知道怎么使用,其实很简单只要把它解压后双击导入就行了,这里有个技巧就是:在你打开工具文件夹选项查看后再导入,之后再点显示所有文件夹)

 

 

 

 

 

本站广告：长沙IDC、湖南IDC、长沙主机托管价格、湖南主机托管价格、湖南长沙服务器托管价格、长沙双线机房、湖南双线机房 相关资讯一切尽在湖南数据中心：www.hnidc#