转贴一个方法给你,看有没有用。
今天,俺又收到一个瑞星19.02.42查不到的木马(别人求救发过来的)。
一、这蟊贼的特点是:
1、植入系统并成功运行后,更改.exe文件关联。中招后,用户运行任何.exe程序,都将激活木马wuaucll.exe。用SREng在WINDOWS模式下不能修复.exe文件关联!
2、wuaucll.exe和driver.exe双进程,互相守护。
3、植入系统后wuaucll.exe反复不停的写木马文件及其加载项(很俗)。
4、如果你在WINDOWS模式急急忙忙地将木马文件删除的干干净净,而没成功地修复exe文件关联,重启后,你就傻了!虽然可以更改SREng的后缀来运行SREng,但还是无法用其修复.exe文件关联。您的所有.exe程序无法运行。
二、手工处理流程:
1、启动到安全模式下。
2、打开记事本。将下列内容粘贴到记事本窗口。保存为Fix.reg。
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe"
3、运行IceSword 1.2。用IceSword 1.2禁止进线程创建。
4、用IceSword 1.2结束下列进程:
C:\WINDOWS\wuaucll.exe
C:\WINDOWS\SYSTEM32\driver.exe
5、用IceSword找到并删除这些木马文件。
如果你事先打开了资源管理器,也可不用IceSword删除木马文件。取消IceSword的禁止进/线程创建、设置文件夹选项(显示隐藏文件)后,借助资源管理器找到并删除那些木马文件。
6、双击Fix.reg,将其导入注册表。
【注意】:如果你的电脑还有E、F....等分区,这些分区根目录下也有autorun.ini和update.exe,也要删除
