本文详细介绍了ExERoute病毒的工作原理及其清除步骤。病毒通过生成特定文件并修改注册表来实现自我保护及再生,严重影响系统性能。文章提供了具体的删除指令及流程,帮助读者彻底清除病毒。
(1)起因: 前两天看片时,avast不断弹出警告,赶紧关了影片,手动清除病毒文件,没想到还是不小心中招,(realplayer文件内嵌恶意网页,而realplayer本身无法阻止,靠,以后发誓不用realplayer了,只用wmplayer,可阻止rm文件内的恶意网页弹出)。关机重启后病毒启动运行,靠,俺可怜的机子直接篮屏。(主要是由于我的硬盘空间太小了,每个盘都只剩下最多1百M多的空间,而虚拟内存却设得非常高,当此病毒动行的时候,会启动N个ExERoute.exe,导致机子对虚拟内存的需求超过现有硬盘空间,然后篮屏。)
(2)表征:
(1)在系统启动时进程管理器里边出现N多个ExERoute.exe,并随着启动完成而渐渐归于一个。另有
(2)smss.exe(跟系统所用的smss.exe不同,这个处于windows下,但是当你结束此进程时进程管理器和taskkill是无法结束的,也报系统关键进程无法结束的错误,建议用processXP(很强大的进程管理软件,手工K毒诉必不可少之物)结束。)网上另有一说是services.exe(同样也跟系统进程不同,处于windows下面),估计结束方法跟前面一样
(3)WinSvc.exe,处于win32下边,这个进程好像根据病毒的版本不同,有的有,有的没有,处于system32下边, 进程可以直接杀掉,文件也可直接删除,且以后不管病毒是不是已经成功删除,此文件和进程以及相应的注册表项不会再次出现
(4)msconfig无法打开,原因后面再说。
(5)搜索注册表,发现在启动项里(run)多了以下三项值(具体记不清了,这只是大致特征):
TProgram:C:/WINDOWS/SMSS.EXE
TProgram:C:/WINDOWS/System32/WinSvc.exe
runservices里面多了:
TProgram:C:/WINDOWS/System32/WinSvc.exe
(6)D盘变成自动播放,并无法打开。使用右键打开后,发现里边多了两个shr属性(系统,隐藏和只读,需需去除这些属性后才能看见)的文件:pagefile.pif(msdos图标,主要作用是在被运时产生其他相应的病毒文件,其他.pif文件也是如此),autorun.inf(使D盘自动播放,并指向pagefile.pif)
(7)在windows下面生成1.com ,explorer.com ,finder.com 等com文件。在system32下边生成regedit.com ,dxdiag.com ,msconfig.com ,finder.com ,rundll32.com ,i.com ,0.exe等com文件,同时生成command.pif文件。这些文件并不全会出现(随机性的可有可无),绝大部分是shr文件。在windows/debug下面生成debugprogram.exe 的shr文件,在c:/program files/common files下面生成iexplore.pif文件,在 c:/program files/internet explorer下面生成iexplore.com.
(8)系统启动速度超慢,特别是在进安全模式时,慢得让人难以忍受
(4)原理:
(1)当感染以后,病毒将在上面介绍的各处生成相应文件,以巩固自己的地位(用户在:双击D盘,运行IE,打开MSCONFIG,regedit,执行可执行文件(需要rundll32),以及系统启动时(explorer)和其他一些情况下都会造成病毒的运行和再生。)
(2)ExERoute.exe作用有两个:(1)保证smss.exe或services。exe被结束后再次自动运行。(2)将exe的执行文件exefile指向com文件,运行病毒文件后再转向正常文件。所以当用户在启动项里使用msconfig的时个,实际上被ExERoute.exe指向了msconfig.com(病毒文件)而不是原来的msconfig.exe,其他也同理,这就是为什么如果该病毒容易被启动的原因。
(3)将WinSvc.exe注册为运行时服务。
解决方法:
(1)打开命令行备用,因为删除ExERoute以后再打开CMD和其他可exe程序将非常费事,同时打开其他所有你需要用的辅助程序备用。
(1)到windows下面删除ExERoute.
(2)结束smss.exe,会同时结束ExERoute.exe进程。
(3)删除smss.exe。
(注:这三步的顺序不能搞乱,因为如果不先删掉ExERoute.exe的话,它会导到smss.exe的再生和进程重启动。)
(4)到刚才打开的命令行里执行:
assoc.exe=exefile
将被改过的exe执行指向再改回来。
(5)删除以下文件:
windows:
del c:/windows/1.com
del c:/windows/services.exe
del c:/windows/explorer.com
del c:/windows/finder.com
del c:/windows/exeroute.exe
debug
del c:/windows/debug/debugprogram.exe
system21
del c:/windows/system32/regedit.com
del c:/windows/system32/dxdiag.com
del c:/windows/system32/msconfig.com
del c:/windows/system32/command.pif
del c:/windows/system32/finder.com
del c:/windows/system32/rundll32.com
del c:/windows/system32/i.com
program files
del c:/progra~1/common~1/iexplore.pif
del c:/progra~1/intern~1/iexplore.com
d:
del d:/pagefile.pif
del d:/autorun.inf
注:一定要删除干净,否则系统启动后又会重生。
(6)到注册表(此时可以下常打开了)下,以ExERoute.exe,C:/WINDOWS/SMSS.EXE,WinSvc.exe为关键字搜索,删除所有找到的表项。
(7)重启,检查是否清除干净,OK!!!
(2)表征:
(1)在系统启动时进程管理器里边出现N多个ExERoute.exe,并随着启动完成而渐渐归于一个。另有
(2)smss.exe(跟系统所用的smss.exe不同,这个处于windows下,但是当你结束此进程时进程管理器和taskkill是无法结束的,也报系统关键进程无法结束的错误,建议用processXP(很强大的进程管理软件,手工K毒诉必不可少之物)结束。)网上另有一说是services.exe(同样也跟系统进程不同,处于windows下面),估计结束方法跟前面一样
(3)WinSvc.exe,处于win32下边,这个进程好像根据病毒的版本不同,有的有,有的没有,处于system32下边, 进程可以直接杀掉,文件也可直接删除,且以后不管病毒是不是已经成功删除,此文件和进程以及相应的注册表项不会再次出现
(4)msconfig无法打开,原因后面再说。
(5)搜索注册表,发现在启动项里(run)多了以下三项值(具体记不清了,这只是大致特征):
TProgram:C:/WINDOWS/SMSS.EXE
TProgram:C:/WINDOWS/System32/WinSvc.exe
runservices里面多了:
TProgram:C:/WINDOWS/System32/WinSvc.exe
(6)D盘变成自动播放,并无法打开。使用右键打开后,发现里边多了两个shr属性(系统,隐藏和只读,需需去除这些属性后才能看见)的文件:pagefile.pif(msdos图标,主要作用是在被运时产生其他相应的病毒文件,其他.pif文件也是如此),autorun.inf(使D盘自动播放,并指向pagefile.pif)
(7)在windows下面生成1.com ,explorer.com ,finder.com 等com文件。在system32下边生成regedit.com ,dxdiag.com ,msconfig.com ,finder.com ,rundll32.com ,i.com ,0.exe等com文件,同时生成command.pif文件。这些文件并不全会出现(随机性的可有可无),绝大部分是shr文件。在windows/debug下面生成debugprogram.exe 的shr文件,在c:/program files/common files下面生成iexplore.pif文件,在 c:/program files/internet explorer下面生成iexplore.com.
(8)系统启动速度超慢,特别是在进安全模式时,慢得让人难以忍受
(4)原理:
(1)当感染以后,病毒将在上面介绍的各处生成相应文件,以巩固自己的地位(用户在:双击D盘,运行IE,打开MSCONFIG,regedit,执行可执行文件(需要rundll32),以及系统启动时(explorer)和其他一些情况下都会造成病毒的运行和再生。)
(2)ExERoute.exe作用有两个:(1)保证smss.exe或services。exe被结束后再次自动运行。(2)将exe的执行文件exefile指向com文件,运行病毒文件后再转向正常文件。所以当用户在启动项里使用msconfig的时个,实际上被ExERoute.exe指向了msconfig.com(病毒文件)而不是原来的msconfig.exe,其他也同理,这就是为什么如果该病毒容易被启动的原因。
(3)将WinSvc.exe注册为运行时服务。
解决方法:
(1)打开命令行备用,因为删除ExERoute以后再打开CMD和其他可exe程序将非常费事,同时打开其他所有你需要用的辅助程序备用。
(1)到windows下面删除ExERoute.
(2)结束smss.exe,会同时结束ExERoute.exe进程。
(3)删除smss.exe。
(注:这三步的顺序不能搞乱,因为如果不先删掉ExERoute.exe的话,它会导到smss.exe的再生和进程重启动。)
(4)到刚才打开的命令行里执行:
assoc.exe=exefile
将被改过的exe执行指向再改回来。
(5)删除以下文件:
windows:
del c:/windows/1.com
del c:/windows/services.exe
del c:/windows/explorer.com
del c:/windows/finder.com
del c:/windows/exeroute.exe
debug
del c:/windows/debug/debugprogram.exe
system21
del c:/windows/system32/regedit.com
del c:/windows/system32/dxdiag.com
del c:/windows/system32/msconfig.com
del c:/windows/system32/command.pif
del c:/windows/system32/finder.com
del c:/windows/system32/rundll32.com
del c:/windows/system32/i.com
program files
del c:/progra~1/common~1/iexplore.pif
del c:/progra~1/intern~1/iexplore.com
d:
del d:/pagefile.pif
del d:/autorun.inf
注:一定要删除干净,否则系统启动后又会重生。
(6)到注册表(此时可以下常打开了)下,以ExERoute.exe,C:/WINDOWS/SMSS.EXE,WinSvc.exe为关键字搜索,删除所有找到的表项。
(7)重启,检查是否清除干净,OK!!!
扫一扫
6084
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
