auto.exe病毒导致毒霸文件实时防毒变蓝的处理方法
病毒分析:auto.exe病毒运行后,会在%windows%\system32\目录下释放出随机8位的EXE病毒文件以及随机7位的DLL文件,并释放批处理删除自身%windows%\system32\del.bat。同时,它还在各磁盘分区释放auto.exe(即为病毒宿主文件)和autorun.inf病毒辅助文件。只要用户双击打开磁盘,病毒就再次被激活,此后,当用户使用U盘等移动存储器时,病毒便会将其传染。
病毒运行成功后,会将更改系统日期,使部分依赖系统时间的杀软失效,大大降低用户系统的安全性;修改注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue dword:00000001 dword:00000000
以达到隐藏文件属性目的;
添加注册表键值到
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
使病毒以服务方式加载,并将dll注入到系统进程当中,连接远程服务器,下载大量其它病毒和木马。用户如果查看启动项,可发现新增了不少陌生的启动项。而通过任务管理器,也可发现很多异常进程。(见图1)
需要注意的是,在病毒下载的“帮凶”中,相当部分具有盗号功能,盗取的都是现今比较主流的大型网络游戏和即时通讯软件,如《传奇》、《大话西游2》、《梦幻西游》、《彩虹岛》、《QQ》、《QQ游戏》等。
处理方法:
由于该病毒具有木马下载器的功能,所以系统会运行很慢,(见图2)
另外,鉴于该病毒采取服务方式加载,请进入安全模式清理操作(方法为:开机之后反复点击F8键)
隆重推荐金山清理专家的粉碎器功能,选择添加文件后浏览到system32目录下,使用查看-详细信息将文件按照时间排序(见图3)
这样就可以定位到这些病毒文件上,(见图4)
粉碎器是可以支持批量添加的,按住ctrl键并选中这些病毒文件,就可以将其删除(见图5)
之后再清理这些恶意软件,重启回到正常系统,基本上就大功告成了。
最后做一下扫尾工作:
1,修复显示隐藏文件,用sreng,见截图6;
2,用清理专家关闭自动播放
www.newjian.com
您的位置: