Apr

22

mmlucj.exe severe.exe OSO.exe conime.exe 美女游戏病毒清理

Filed Under 技术 

该病毒为熊猫烧香最新变种,病毒特征如下:

1、系统时间总是被改到某年某月某天 如2004年1月22日(估计是防止杀毒软件升级?)
2、不能更改 显示隐藏所有文件和文件夹 选项 无法显示隐藏的系统文件
3、双击硬盘速度明显变慢 或者弹出选择打开方式
4、打不开杀毒软件
5、打不开任务管理器,无法打开注册表编辑器
6、安全模式也无法结束(绑架了winlogon)
7、无法打开应用程序 office文档等

该病毒劫持了大多数杀毒软件、杀毒工具的可执行文件,运行它们相当于运行了病毒程序。

U盘上的病毒样本:

该病毒会在各个磁盘上创建OSO.exe和自动运行文件autorun.inf,打开每个磁盘都相当于感染一次病毒,故如果不对各个磁盘进行清理的话,重装无效。

解决方法:
注意事项:
1、操作时一定要断开网络(拔掉网线),至于安全模式或者正常模式,都无所谓。;
2、不要在杀毒过程中插入软盘 U盘 移动硬盘 Mp3 等移动设备
3、本次杀毒过程中不要双击硬盘分区 如C D E盘 通过右键---选择“打开”来打开硬盘分区
4、不要盲目的重装系统 重装系统解决不了任何问题。

使用工具:
autoruns.rar ? 点击下载此文件

步骤:
1、关闭自动运行。
开始---运行---输入 gpedit.msc 确定
按下图所示步骤关闭所有磁盘的自动运行。

2、解除应用程序劫持。
解压autoruns.rar,运行autoruns.exe
打开autoruns上[映像劫持] 你就会发现 包括360在内的流行杀毒软件和杀毒工具都被劫持
把所有的都劫持都删除留下“Image File Name Here without a pathSymbolic Debugger for Windows Microsoft Corporation c:\windows\system32\ntsd.exe”(这个是微软的)
除了这个ntsd.exe全干掉~
找到[启动执行]删除如下的2个启动项 severe.exe和jusodl.exe(或者mmlucj.exe)和conime.exe删
马上按Ctrl+Alt+Del打开任务管理器,结束comime.exe,avipit.exe(先结束前面这两个),mmlucj.exe,severe.exe。
这个过程中时刻监视这autoruns的[映象劫持],如果又出来除了ntsd.exe之外的东西,马上清理掉,清理掉再结束上述进程。
3、清理病毒文件。
在[映象劫持]正常的情况下,运行注册表编辑器regedit.exe(开始-运行)
找到如下注册表路径:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
删除右边的CheckedValue(字符串值)新建DWORD值CheckedValue数值改成1
注意:如果操作不当 又释放了病毒 注册表会被改回去

右键打开CDEF每个硬盘检查一便 删除autorun.inf 、OSO.exe、Setup.exe (都是隐藏文件)当然还有那个美女游戏的dos快捷方式!如果操作失败,从第一步开始重新做一遍吧。
[color=Red]注意杀毒不要双击任何硬盘 尤其是U盘和活动硬盘!!

如果你发现删完还会自己生成 请重新做上述步骤 Driver目录底下的优先删除
c:\windows\system32\drivers\pnvifj.exe(或者avipit.exe)
C:\WINDOWS\system32\drivers\conime.exe
C:\WINDOWS\system32\drivers\CTMONTv.exe
C:\WINDOWS\system32\jusodl.dll(或者mmlucj.dll)
c:\windows\system32\severe.exe
c:\windows\system32\jusodl.exe(或者mmlucj.exe)
c:\Windows\System32\verclisd.dat

4、插上U盘,右键打开,删除U盘里的病毒文件(autorun.inf 、OSO.exe、Setup.exe 美女游戏的dos快捷方式),建议用U盘病毒免疫器(http://www.feelingfly.net/article.asp?id=490)对所有磁盘进行免疫,防止以后感染。

5、修复HOSTS文件
在c:\windows\system32\drivers找到HOSTS文件,用记事本打开,删除除了 127.0.0.1 localhost之外所有的内容,保存。

6、用最新的杀毒软件进行全盘扫描(推荐用卡巴斯基)。

7、修复Office,重新安装office就可以了

8、重启,检查是不是还有病毒残余,如果有,按照上述步骤重新检查一遍。

9、由于这个病毒变种出的很快,可能有些病毒文件和上述步骤中的文件名会有区别,请大家仔细甄别,发现了以后在这里留言一下,谢谢。

Tags: , .

« 关于鲁迅
4.22.EarthDay.世界地球日? »

Comments

Leave a Reply