[原创] 手动杀毒（二）

最近这个毒很猖狂，使用了双进程互相守护，而且用IFEO HIJACK灭了所有的杀毒软件，我也是第一次见，杀的时候费了点劲。下面是中毒的现象。但愿我没把病毒搞浑。我的功力还不足以通过逆向看病毒，就这样来看啦。
中毒表现：
1，各种杀毒软件都不能打开，唉，我们超级巡警有了点名气也被它看中了。
2，U盘传播，U盘中的病毒名qkkiwvs.exe。MD5验证qkkiwvs.exe crpqluj.exe tsnqtjn.exe是同样的文件。
3，无法选中不显示所有文件夹和文件。

杀毒方法：
1，打开超级巡警(汗，我又做广告了)，注意由于使用了IFEO HIJACK，我们的超级巡警也打不开了，不过没关系，改个名就行了，把ast.exe改成ast1.exe之类的就行了。你也可以使用别的进程管理软件。
2，再超级巡警的进程管理那，把这俩进程前面的框选中crpqluj.exe，tsnqtjn.exe。然后右键选择终止标记进程，把俩进程都结束了再说。
3，选择超级巡警的安全优化－－》系统修复－－》修复映象劫持。这个再新版的巡警里才有，你也可以手动修复，删除注册表的一些键值就行了，这个键值自己找吧。
4，导入下面这个注册表文件，这是修复显示所有文件夹和文件的选项的。附件里也有
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
5，删除启动项
qkkiwvs        
vgmjnhj   
建议用超级巡警删除，也可手动删除，位置
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
6，删除病毒文件。
C:\Program Files\Common Files\Microsoft Shared\crpqluj.exe
C:\Program Files\Common Files\System\tsnqtjn.exe
以及各个盘符下的autorun.inf和qkkiwvs.exe。   


修复显示所有文件夹和文件的注册表文件的注册表文件在附件里，病毒样本也在附件里。用卡巴查了一下病毒名Virus.Win32.AutoRun.f   
解压密码virus.

[ 本帖最后由 麦田的怪 于 2007-6-27 19:08 编辑 ]