先是一台MM的电脑中了,很快就发现病毒体,也发现运行不了任何杀毒软件,恶意软件清理工具,木马清理工具,无法打开含“病毒、杀毒”字样的网站。
将移动硬盘插入另一台好的电脑准备上网下载工具,几秒种之后,这台也中了,这下好了,工作照常可以进行,杀不了毒,查不了任何相关的信息。
上楼,继续,在我的电脑上关闭自动播放,插入移动硬盘,用WINRAR删除两个文件,一个autorun.inf,还有一个8C837C36.EXE,这个文件名好像是根据机器码算出来的,所以每台机器应该都不一样。
下载了SRENG,AUTORUNS,UNLOCKER,PowerRMV,说下清理步骤:
1。打开任务管理器,把能停掉的进程统统停掉,包括explorer.exe,svchost.exe,ctfmon.exe,TIMPlatform.exe等等,除了提示“这是系统进程无法停止”,但在停止svchost.exe时会倒计时一分钟关机,在任务管理器运行shutdown -a即可。
2。打开WINRAR或者ACDSEE都可以,浏览到C:\Programe Files\Common Files\Microsft Shared\MSinfo\应该只有7个文件,多出来两个8C837C36.dll和8C837C36.dat,删除,到Windows下有个8C837C36.exe好像,删除,到Windows\Help下有个8C837C36.CHM删除,再到其它各个盘根目录下,删除Autorun.inf和8C837C36.EXE,病毒体基本清除完毕。8C837C36.dat清除不了暂时放一边。
3。安装,运行Autoruns,这个软件可以运行,不行的话随便改个名,进入“映象劫持”项,删除除一项Microsft的项目之外所有的项目。
4。重启,还是一样结束所以不必要的进程,使用PowerRMV删除那个顽固的8C837C36.dat,或者用Winrar直接删除,因为解除了映象劫持,这样可以运行SRENG,进入修复,高级修复,修复安全模式,这样安全模式就OK了。
5。运行杀毒软件更新后,全盘扫描,运行安全卫士360或者Windows清理助手。
有几点我想单独说下:
1。这个病毒不但关闭打开包含敏感字的网页,甚至在这台电脑上,只要打开到病毒所在目录,就自动关闭WINRAR和资源管理器,所以怀疑是个变种,需要关闭所有不必要的进程。
2。注册表倒是没锁,也很容易改,运行regedit,定位到HKLM_Softwar_Microsft_Windows_Current Version_Exploer_Advanced_Folder_Hidden_Showall下,更改CheckedValue的DWORD值从0为1即可。这个倒满奇怪,一般病毒都会锁注册表,还禁止倒入REG文件的。
3。在病毒文件没删掉的情况下,全盘扫描后,没有发现病毒,很遗憾,NOD32一直对它很依赖的。
4。所有过程没有拔网线,没有进安全模式,因为停掉了几乎所有的进程,只有8个核心进程。
5。建议将电脑中的“Shell Hardware Detection”服务关闭,这样插入U盘或者移动硬盘不会自动运行autorun.inf,稍好点,建议打开U盘或者移动硬盘,点右键菜单打开,不要双击,可以减少一些不必要的麻烦。
6。天下没有什么软件是万能的,所以也不存在什么装了卡巴+AVG+XXX+XXX就很安全一说,对一些未知病毒和一些针对性的恶性病毒,怎么也防不住,所以做好个人的使用习惯,重要资料做好备份,我的文档不要装在C盘是比较好的。
7。装一些主动防御的软件应该好一些,不过到目前为止也没发现什么好的,比较智能的软件,什么程序运行都会弹出个窗口问你是否放行,笨的要命,基本上装的人到后来都麻木了,什么都是“同意!”。
8。参考:孤独更可靠文章,
http://gudugengkekao.blog.51cto.com/blog/172212/28381。
9。还没想好,想好再说。
