手工查杀威金病毒,完全恢复exe程序
来源:互联网 发布:译码器和数据选择器 编辑:程序博客网 时间:2024/05/21 17:58
受Viking病毒感染后的exe是可以恢复的。本人中毒后,先后尝试过很多国内目前主流的杀毒软件,均无法查出存在病毒。在网上看到很多人的建议是完全格式化系统盘,删除全部exe文件...这种做法太恐怖了,会造成多么大的损失啊!
一、先说说中毒的过程:
(系统为 XP + sp2)
愚人节前一天,访问一个www.acess***.net的网站,突然页面打开变的很慢 .开始以为是广告导致的,也没太在意.后来跳出来一个错误信息,说一个应用程序是16位的,无法正常运行.这个文件位于当前用户所在的临时文件夹内(我的系统是经过优化处理的,将用户的临时文件夹和系统的临时文件夹指向另外一个旧硬盘上了,并且指定盘符为 Z:),很明显有问题!
(为了防止大家误访问病毒网站,我把后面的数字改为***了)
二、采取措施:
马上断网,拔掉所有U盘和移动硬盘. 到Z:盘 user_temp一看,果然多了几个win开头的 **.exe文件.
三、诊断
1、看c:盘(C盘是系统盘)根目录下,出现了_desktop.ini文件,里面是一个时间的日期格式: 2007/3/31 的字样.
2、在C:/windows/下出现Richdll.dll和Login_1.exe
3、在C:/windows/出现uninstall目录,里面是一个rundll32.dll
4、在系统进程里可以看到Login_1.exe
5、在C:/windows/system32下也出现了一些相同时间的新文件
四、其他现象
1、进入IE临时文件目录,查看cookie,发现带有acess***的cookie生成的时间和上面说的Richdll.dll和Login_1.exe的文件时间一致! 这就是病毒的来源
2、诺顿只是报警发现小偷等程序,无法查杀。
3、所有exe文件的图标都变了,变成普通exe的蓝方框。
五、杀毒
1、重新启动系统,进入安全模式
2、删除病毒文件
这两个是最主要的
C:/windows/下出现Richdll.dll和Login_1.exe
C:/windows/出现uninstall目录,里面是一个rundll32.dll
C:/_desktop.ini
C:/windows/system32/与Login_1.exe文件时间一致的exe文件
等等
删除注册表相关信息:
KEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run/load
KEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run/Wnipzisrv
KEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run/twin
六、免疫
1、在C:/windows/uninstall目录下创建一个新rundll32.dll。
方法如下:新建一个文本文件,改名为rundll32.dll
然后,将文件的属性增加只读属性。
2、C:/windows/创建Richdll.dll、Login_1.exe和Logo1_.exe
方法同上;然后,将文件的属性增加只读属性。
上述新建的文件长度都是 0 。
重新启动机器,防火墙会报一些程序要访问网络。全部禁止。这是威金携带的一些木马病毒导致的。
虽然威金病毒不再活动,但是那些附属的病毒还在。
七、恢复exe程序的使用
需要关注的有两个位置:
A、要恢复的exe程序所在的目录
B、系统进程
恢复步骤:
1、进入要恢复exe所在的目录
2、查看系统进程
进程里面没有要恢复的exe文件的名称,也没有cmd进程。
3、双击要恢复的exe程序,这里举例为Together.exe(其他的exe都已经恢复完了,而且用了一段时间,确保这个方法好用,所以才拿出来和大家共享)
鼠标闪动了一下,什么也没出现。
这时候,会发现在系统的进程里面多了一个Together.exe (注意:是系统进程,不是应用程序列表)
4、再次双击Together.exe文件
注意看当前文件目录:出现了一个Together.exe.exe,而且文件的图标是正常的。
而且在系统的进程中增加了cmd.exe的进程。而且在用户的临时目录中还出现了一个$$开始的bat文件,这个文件不要动,还有用!
5、结束Together.exe进程
会出现Together.exe.exe被改为Together.exe原来的文件被删除。系统进程中Together.exe和cmd.exe消失。
用户临时文件夹中只留下一些temp文件,原来的$$*.bat文件消失。
这时候,exe文件已经恢复了!
此方法在已经安装的exe文件上尝试过,对于未安装的exe文件未尝试,不知道能不能用!
八、还需要用其他的杀毒软件查杀其他附属的木马等病毒。
本文仅个人经验,使用请谨慎。出现未预期的后果,责任自负!
在此强烈谴责那些用技术信息诱引开发人员进入病毒网站的人!!!
- 手工查杀威金病毒,完全恢复exe程序
- ORACLE手工完全恢复
- 手工删除update.exe病毒
- wsdttrs.exe病毒手工清除
- 手工清除severe.exe病毒
- 第三章:手工完全恢复
- lsass.exe病毒木马手工清除方法
- lsass.exe病毒木马手工清除方法
- ntsd.exe病毒专杀--手工清除
- 如何手工删除exe文件夹病毒
- 手工删除自动运行病毒(nwizs.exe病毒)
- 手工完全恢复(所有数据文件丢失)
- 手工完全恢复(不可转储)
- cthelper.exe是病毒程序
- 所谓“病毒”RavMon.exe问题的手工解决
- 手工杀掉双线程、感染所有EXE文件病毒
- 手工完全恢复(高可用模式,即先开库,后恢复)
- 完全删除conime.exe 程序。。。
- 谈积累
- 正确关机方法
- 经典字符串Hash函数测试
- 真快啊,又过去一个月了啊。4月份开始了呀!
- Windows下的命令行工具在网络故障检测中的应用(下)
- 手工查杀威金病毒,完全恢复exe程序
- 在 Web 请求中使用 XMLHttpRequest
- C#多态性
- 用SQL语句添加删除修改字段
- Microsoft .NET Pet Shop 3.x(一)
- edit plus 调试 php
- oracle“SQL Trace”简介
- 使用UserControl和JavaScript动态生成ToolTips
- Microsoft .NET Pet Shop 3.x(三)