8位随机数病毒全攻略
[摘要] 8位随机数病毒是属于IEFO病毒的一种,如果机子中了此类病毒,其显著特点就是--不能打开隐藏和系统文件,进不了安全模式,也无法安装和运行各类相关的杀毒和修复系……
8位随机数病毒是属于IEFO病毒的一种,如果机子中了此类病毒,其显著特点就是--不能打开隐藏和系统文件,进不了安全模式,也无法安装和运行各类相关的杀毒和修复系统的软件(其映象被该木马劫持),更厉害之处是无法在搜索引擎上搜索相关防毒杀毒之类的网页,否则刚打开当前窗口立即被关闭(有时是显示桌面)!并且,在各分区根目录下会多两个文件:一个是8位随机数.exe是autoruns.inf.在C:\PROGRA~1\COMMON~1\MICROS~1\MSINFO 和C:\Program Files以及C:\WINDOWS\system32\drivers目录下留下两个8位随机数文件(DLL文件)。此病毒相当难查杀,并暂时没有简单的相关专杀工具(主要是劫持其映象使其无法直接打开运行),网上已经有不少高手提供的手工查杀方法(http://hi.baidu#/liaohaihai/b ... 3b15b54bedbc5a.html),在此我结合自己实际查杀情况,做一点补充和总结吧。
方法一:
如果可以的话,先下载金山出品的“AV终结者”木马专杀查杀全盘,(如果可以运行,那解决问题应该很快的),然后再重装杀毒软件更新后全盘杀毒就行了,并做好补丁工作。若行不通则用下面的方法进行手工查杀。 工具下载:[attach]33598[/attach]
方法二:
准备好需要的工具:SREng,autoruns,修复安全模式.reg
1. 将sreng下载回来后,运行前先改名(必须改名,不然是无法运行的),打开界面后选择系统修复→高级修复→自动修复,再点修复安全模式.经过几次实验,我发现:实际上,用此方法并不能完全修复所有不能进入安全模式的8位随机病毒的劫持。所以另外要做补充的是,利用seng选择启动项目,删除所以8位随机数.exe/.dll以及相关的项目,之后在服务:win32服务应用程序里,选择隐藏微软已认证的服务,之后删除其他所以的不明服务,即可。
2. 运行下的修复安全模式.reg,导入注册表后随即重启,不出意外的话,现在应该可以进入安全模式了。如果不行的话也可先用下这个试试[attach]38967[/attach]。重起后等待起提示结束后再做下面的操作。
3.进入安全模式后,将autoruns也改名,然后再运行,选择映像劫持项目,删除除Your Image File Name Here without a pathSymbolic Debugger for Windows 2000 之外的所有项目!(不过我不小心全删了,不过好象也没什么问题,就是不知道有什么后遗症,呵呵).于其劫持了很多杀毒软件, 手工一项一项的删除可能比较辛苦。不过可以使用快捷键左右按ctrl+d和回车就可以,也蛮快的(我是按的手都酸了 ).
4. 上面结束之后运行→regedit并展开注册表:将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL右边的CheckedValue键值设为1,也可以应下面的隐藏文件夹的.reg导入注册表即可[attach]38968[/attach]就可以打开隐藏文件了。然后利用winrar的查看功能(打开一个压缩文件选择查看即可)或者用资源管理器删除个分区目录下的8位随机数.dll/.exe和autoruns.inf文件并删除C:\PROGRA~1\COMMON~1\MICROS~1\MSINFO 下的8位随机数.dll和8位随机数.dat. 将系统临时目录比如C:\Documents and Settings\Administrator\Local Settings\Temp下的各个项目都删除,最后将C:\WINDOWS\Help目录下的8位随机数.chem删除。走到这步就差不多了 ,死木马就要走向终结了.
5. 最后重启动后,这时候就可以使用各类杀毒软件了,把病毒库升级到最新后,那就狂杀吧(杀毒软件被其清除的就重装吧 ),在此根据我的试验建议大家先使用“AV终结者”木马查杀工具进行全盘查杀)因为还有不少随机产生的木马和病毒。推荐用360安全卫士先打好系统补丁和做好清理流氓软件的工作后,用瑞星或卡斯巴基杀毒。
工具软件下载:
[attach]33603[/attach]
[attach]33600[/attach]
[attach]33601[/attach]
当然,如果你觉得上面的手工杀法太烦琐,又不太明白的话,可以教大家简单的一个方法(我已经试验过):一般用户的话都备份有一键ghost或还原精灵之类的,你要做的就是将系统还原(或重装操作系统)。
装完系统后,不要马上打开其他盘符(切记) 然后用Winrar的查看或资源管理器,将其他各个盘符下的8位随机数.dll/.exe和autoruns.inf以及相关的删除就可以了。
此类病毒还是留了一手:它没有破坏注册表编辑器regedit的运行,(假如你的注册表被禁用了)可以试下下面的.bat文件作下修复[attach]38969[/attach].还有的就是其没有破坏其他分区的应用程序.exe,没有删除你硬盘的gho文件。你若采取后面的简单方法,相信处理还是很快的。
补充软件下载(显示隐藏文件和右击AUTO批处理文件):[attach]33602[/attach](显示隐藏文件有朋友说不知道怎么使用,其实很简单只要把它解压后双击导入就行了,这里有个技巧就是:在你打开工具文件夹选项查看后再导入,之后再点显示所有文件夹)
上一篇:新手部署DNS服务器须知下一篇:利用数据存储技术 实现数据合理备份