【原创】·一次中木马后的自救过程分享
一、症状进入系统后,突然发现卡巴没有运行,手动双击也不能打开,再仔细检查,发现系统时间被修改到19xx年。
二、检查
打开进程管理器,发现可疑进程“oduxyym.exe”和“veckdld.exe”,并且无法关闭。
C盘、D盘均无法查看系统隐藏文件,并且在“文件夹选项”→“查看”里也无法打开“显示所有文件和文件夹”。
经上网搜索,确认中了木马病毒。
三、杀马
1、在“任务管理器”→“进程”里,鼠标右键点击“”“oduxyym.exe”或“veckdld.exe”任意一个,选择“结束进程树”,重复这个动作,关闭另一个。速度要尽量快些,因为这两个进程互为备份,速度慢了,另一个进程就会自动再生成被你杀掉的那个进程。
2、打开注册表找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL在右边窗口中将CheckedValue删掉,再新建一个CheckedValue的DWORD值,将其值设为1。
3、关闭注册表,在“文件夹选项”→“查看”里,打开“显示所有文件和文件夹”。
4、进入windows目录下的system32子目录,删除oduxyym.exe和veckdld.exe这两个文件。在C盘、D盘根目录中删除ymfqplr.exe和autorun.inf两个文件。
5、在注册表HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run以及HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中删除相应键值。
6、重新启动系统。
四、恢复安全模式
重新启动系统后,发现“安全模式”无法进入,系统蓝屏提示Stop:0x0000007B错误。
请下载我提供的这个文件,将后缀名改为“reg”(这里不支持reg文件上传),双击,修复注册表相应选项。重新启动系统,安全模式恢复正常。 补充:
该木马还会造成某些应用软件出错,需要重新安装。 好,我昨天也是中了这样的,情况一个,病毒可能是另一个变种,清了半天没搞好。
只好恢复GHO了,还好是今年3月份做的,没有多少影响工作。 修复完成后
最好还是升级个病毒库 再彻底查一遍硬盘 1.ghost恢复系统
2.进入系统后不要点击任何分区
3.删除其他盘下autorun.inf文件和autorun.inf中调用的程序
4.ok
页:
[1]