找到解决该病毒的方法了！

最新推荐文章于 2025-09-04 16:19:55 发布

原创最新推荐文章于 2025-09-04 16:19:55 发布 · 173 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#操作系统 #运维

本文详细描述了一种特定病毒的中毒症状，包括系统启动缓慢、出现异常进程和服务等，并提供了一套完整的清除方法，涉及任务管理器使用、注册表编辑及文件删除等步骤。

可能的中毒症状：
系统启动变慢，运行变慢。
任务管理器中显示有带电子表格文件图标的kill或其他应用程序运行。
无法双击打开磁盘，或双击打开磁盘后自动最大化。
打开磁盘或文件夹的右键菜单，发现“aoto”字样。[田大军注]

运行病毒样本后..
            释放文件
            C:\WINDOWS\BACKINF.TAB
            C:\WINDOWS\Session.exe
            C:\WINDOWS\svchost.exe
            C:\WINDOWS\system32\FileKan.exe
            C:\WINDOWS\system32\SocksA.exe
            C:\WINDOWS\ufdata2000.log
            %Temp%下释放两个随机名的临时文件(*.tmp)
            替换掉系统文件 C:\WINDOWS\system32\mmc.exe (大小为61440字节.正常的应该是814592字节)

            释放每个盘符下
            AUTORUN.INF
            tel.xls.exe

            注册表添加
            HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
            [ASocksrv]SocksA.exe{0x00}{0x00}{0x00}{0x00}{0x00}

            添加服务
            [Smart Card Supervisor / mmc]
            */

删除隐藏文件键值
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\SHOWALL\CheckedValue

访问本地 127.0.0.1

清除方法:
请首先下载并解压 SREng [系统恢复引擎] 软件。

SREng.rar
            0.清除病毒前务必首先打开Winrar软件，然后按照下列步骤进行。[田大军注]

           1.Ctrl + Alt + Del 打开任务管理器
            结束应用程序 kill
            结束进程 mmc.exe

            2.删除添加的注册表以及服务
            启动 SREng [系统恢复引擎] 解压运行-启动项目-注册表-删除
            [1]

            启动项目-服务-WIN32 应用程序
            找到 [Smart Card Supervisor / mmc]
            删除...

            3.利用压缩工具 WINRAR 删除文件
            C:\WINDOWS\BACKINF.TAB
            C:\WINDOWS\Session.exe
            C:\WINDOWS\svchost.exe
            C:\WINDOWS\system32\FileKan.exe
            C:\WINDOWS\system32\SocksA.exe
            C:\WINDOWS\ufdata2000.log
            C:\WINDOWS\system32\mmc.exe

            还有每个盘符下的
            AUTORUN.INF
            tel.xls.exe

3.恢复显示隐藏文件功能
将[系统恢复引擎软件压缩包]中的注册表文件：不能显示隐藏文件.reg 双击导入即可..

4.去正常系统中复制一个 C:\WINDOWS\system32\mmc.exe 到本机..
部分操作系统能够自行恢复初始的mmc.exe文件[田大军注]