近期,又開始流竄rising.exe 和autorun.inf 這兩個怪異文件,它們分佈在分區根目錄, 與前不久的<熊貓毒>相差不差的,但比較難處理.
1、首先,點重啓按F8進入安全模式。打開 windows資源管理器,依次點工具-文件夾選項-查看,選上“顯示所有文件和文件夾”和“顯示系統文件夾的內容”;去掉“隱藏已知文件類型的擴展名”和“隱藏受保護的操作系統文件”前面的對鉤。
提示:在照上面設置後仍然找不到下面指出的病毒文件,或照上面設置失敗,請不要關閉資源管理器,打開winrar或冰刃,用winrar或冰刃查找病毒文件。如果還是找不到,可以確定文件不存在。如果能找到,請使用冰刃,點文件(菜單裏的)-設置-禁止進線程創建,然後右鍵點文件,刪除,再回資源管理器,在原文件位置建立和病毒文件同名的帶擴展名的文件夾免疫。
4、使用費爾強制刪除工具,刪除以下文件,刪除後重建的可以選上抑制文件再次生成後刪除。
C:\WINDOWS\system32\FB000E3A.DLL
C:\WINDOWS\system32\winform.dll
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\system32\msccrt.dll
C:\WINDOWS\system32\cmdbcsg.dll
C:\DOCUME~1\new\LOCALS~1\Temp\upxdwnd.dll
C:\WINDOWS\system32\FB000E3A.EXE
<C:\WINDOWS\winform.exe>
<C:\WINDOWS\mppds.exe>
<C:\WINDOWS\msccrt.exe>
<C:\WINDOWS\cmdbcsg.exe>
<C:\DOCUME~1\new\LOCALS~1\Temp\upxdwnd.exe>
C:\Autorun.inf
C:\rising.exe
D:\Autorun.inf
D:\rising.exe
E:\Autorun.inf
E:\rising.exe
刪除以下目錄:
C:\Syswm1i
刪除後在c:盤下建立名字爲:“Syswm1i”的空文件,防止以上文件夾再次創建。
6、用sreng-點啓動項目-點服務-點win32服務應用程序:將以下項刪除:
[FB000E3A / FB000E3A][Stopped/Auto Start]
<C:\WINDOWS\system32\FB000E3A.EXE -service><Microsoft Corporation>
7、用sreng-點啓動項目-點註冊表: 將以下項的啓動刪除:
<333><C:\Syswm1i\svchost.exe> []
<winform><C:\WINDOWS\winform.exe> []
<mppds><C:\WINDOWS\mppds.exe> []
<msccrt><C:\WINDOWS\msccrt.exe> []
<cmdbcsg><C:\WINDOWS\cmdbcsg.exe> []
<upxdwnd><C:\DOCUME~1\new\LOCALS~1\Temp\upxdwnd.exe> []
9、用sreng- 點系統修復-瀏覽器加載項-刪除以下內容:
[]
{05fbf39b-2c6b-45e2-8b0d-4e03f37a8dbf} <C:\WINDOWS\system32\45e2cfsb.dll, N/A>
[]
{84d5bfe3-1854-49d9-ae2b-1b294ae19f4f} <C:\WINDOWS\system32\49d9ntos.dll, N/A>
[]
{05FBF39B-2C6B-45E2-8B0D-4E03F37A8DBF} <C:\WINDOWS\system32\45e2cfsb.dll, N/A>
[]
{84D5BFE3-1854-49D9-AE2B-1B294AE19F4F} <C:\WINDOWS\system32\49d9ntos.dll, N/A>
12、刪除ie臨時文件:點ie圖標-選屬性,或打開ie瀏覽器,點工具-internet選項-刪除。
刪除\DOCUME~1\ADMINI~1\LOCALS~1\Temp\目錄下所有exe和dll文件。
如果以上提到的文件都已處理後,重起到正常模式看看。
建議如下預防方式:
1.disable<全部驅動自播放>
2.disable <禁止指定程序運行>
3.disable <註冊表編輯器>和<命令解釋文件cmd.com or cmd.exe>
4.kill 這兩個病毒文件, 重新建立同名的空文件.
1、首先,點重啓按F8進入安全模式。打開 windows資源管理器,依次點工具-文件夾選項-查看,選上“顯示所有文件和文件夾”和“顯示系統文件夾的內容”;去掉“隱藏已知文件類型的擴展名”和“隱藏受保護的操作系統文件”前面的對鉤。
提示:在照上面設置後仍然找不到下面指出的病毒文件,或照上面設置失敗,請不要關閉資源管理器,打開winrar或冰刃,用winrar或冰刃查找病毒文件。如果還是找不到,可以確定文件不存在。如果能找到,請使用冰刃,點文件(菜單裏的)-設置-禁止進線程創建,然後右鍵點文件,刪除,再回資源管理器,在原文件位置建立和病毒文件同名的帶擴展名的文件夾免疫。
4、使用費爾強制刪除工具,刪除以下文件,刪除後重建的可以選上抑制文件再次生成後刪除。
C:\WINDOWS\system32\FB000E3A.DLL
C:\WINDOWS\system32\winform.dll
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\system32\msccrt.dll
C:\WINDOWS\system32\cmdbcsg.dll
C:\DOCUME~1\new\LOCALS~1\Temp\upxdwnd.dll
C:\WINDOWS\system32\FB000E3A.EXE
<C:\WINDOWS\winform.exe>
<C:\WINDOWS\mppds.exe>
<C:\WINDOWS\msccrt.exe>
<C:\WINDOWS\cmdbcsg.exe>
<C:\DOCUME~1\new\LOCALS~1\Temp\upxdwnd.exe>
C:\Autorun.inf
C:\rising.exe
D:\Autorun.inf
D:\rising.exe
E:\Autorun.inf
E:\rising.exe
刪除以下目錄:
C:\Syswm1i
刪除後在c:盤下建立名字爲:“Syswm1i”的空文件,防止以上文件夾再次創建。
6、用sreng-點啓動項目-點服務-點win32服務應用程序:將以下項刪除:
[FB000E3A / FB000E3A][Stopped/Auto Start]
<C:\WINDOWS\system32\FB000E3A.EXE -service><Microsoft Corporation>
7、用sreng-點啓動項目-點註冊表: 將以下項的啓動刪除:
<333><C:\Syswm1i\svchost.exe> []
<winform><C:\WINDOWS\winform.exe> []
<mppds><C:\WINDOWS\mppds.exe> []
<msccrt><C:\WINDOWS\msccrt.exe> []
<cmdbcsg><C:\WINDOWS\cmdbcsg.exe> []
<upxdwnd><C:\DOCUME~1\new\LOCALS~1\Temp\upxdwnd.exe> []
9、用sreng- 點系統修復-瀏覽器加載項-刪除以下內容:
[]
{05fbf39b-2c6b-45e2-8b0d-4e03f37a8dbf} <C:\WINDOWS\system32\45e2cfsb.dll, N/A>
[]
{84d5bfe3-1854-49d9-ae2b-1b294ae19f4f} <C:\WINDOWS\system32\49d9ntos.dll, N/A>
[]
{05FBF39B-2C6B-45E2-8B0D-4E03F37A8DBF} <C:\WINDOWS\system32\45e2cfsb.dll, N/A>
[]
{84D5BFE3-1854-49D9-AE2B-1B294AE19F4F} <C:\WINDOWS\system32\49d9ntos.dll, N/A>
12、刪除ie臨時文件:點ie圖標-選屬性,或打開ie瀏覽器,點工具-internet選項-刪除。
刪除\DOCUME~1\ADMINI~1\LOCALS~1\Temp\目錄下所有exe和dll文件。
如果以上提到的文件都已處理後,重起到正常模式看看。
建議如下預防方式:
1.disable<全部驅動自播放>
2.disable <禁止指定程序運行>
3.disable <註冊表編輯器>和<命令解釋文件cmd.com or cmd.exe>
4.kill 這兩個病毒文件, 重新建立同名的空文件.
總結一下,其實對付rising病毒並沒有什麼很好的方法,因爲有些文件名,是隨機產生,每臺機器並不一樣,這就需要一定的時間去判斷和鑑別,假如是新手,或者希望快速解決,重做系統也是一種方法,但是在重裝前一定要在安全模式下,清空所以盤下的rising.exe文件
轉:[url]http://hi.baidu.com/smallconan/blog/item/5b76b731df5361a95edf0eec.html[/url]
轉:[url]http://hi.baidu.com/smallconan/blog/item/5b76b731df5361a95edf0eec.html[/url]