欢迎光临 午时栏社区 高先网络    QQ远程协助留言  反回首页
软件学习使用栏目   病毒分析查杀栏目   中小学幼儿栏目  英语会话栏目

 
       杀毒软件也被屏蔽!系统时间自动改为2088年1月1日

------------------------------------------------

 

1,这个病毒麻烦在于将所有主流杀毒软件屏蔽,瑞星的监控中心,绿色的雨伞自动变成红色!意味着你必须重新调动瑞星EXE程序,调动过程需要一段时间,可这个时候对于该病毒的文件破坏性就可想而知.

 

2,需要修改自己的注册表 首先运行 regedit 找到以下目录并删除

 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]

<KernelFaultCheck><C:\WINDOWS\system32\msime.exe>

 

3,别以为重装系统就OK了,在你装完系统之后,再打开自己的杀毒软件卡巴斯基也好,瑞星也好,再怎么正版,不用2秒种依旧被屏蔽掉!

 

4,你会周而复始得到以下的报告病毒名Trojan.PSW.Lmir.kvg!文件名为msime.exe!可此时,你的杀毒软件已经处于休眠状态.

 

5,最恼怒的中毒表现是中毒表现:主流杀毒软件一运行就没了,网络搜索“杀毒”二字--(中文搜索)的话ie会自动关闭,反正就是不让你查毒……

 

--------------------------------------------

系统时间被修改为2088年  SACHOST.exe 病毒

--------------------------------------------

任务管理器出现:

SACHOST.EXE

perfne.exe

iexplore.exe

rundll32.exe(2个)

系统时间被修改为2099-01-01 2088-01-01

不定时运行:

sos.exe

bobo.exe

qoq.exe

cmd.exe

 

解决办法如下:

 

1.由于属于rootkit先禁止创建运行任何文件

2.结束病毒进程SAChost.exe和iexplorer.exe及两个Rundll32.exe进程

3.搜索删除如下文件:

 

D:\WINNT\system32\MPG4C32.exe

D:\WINNT\system32\inetres.exe

d:\winnt\system32\sscvlsrv.dll

D:\WINNT\system32\eventrep.dll

D:\WINNT\system32\bobo.exe

D:\WINNT\system32\sos.exe

d:\winnt\system32\wbem\sachost.exe

d:\winnt\system32\wbem\perfne.exe

 

4.清理internet临时文件和临时目录文件夹

5.修改为正常系统时间

 

    抓了条新viking蠕虫,此虫感染手法不变还是模仿生成uninstall文件夹和rundll.exe,rich32.dll文件,只是感染文件地址变更,清理也简单.

 

    发现有个进程SACHOST.exe,结束掉之后会自动打开,用瑞星杀毒也未发现异常,只是该进程使系统相当的卡.

 

解决方案:

 

    首先进安全模式下把temp与Temporary Internet Files两个文件夹里的内容清空。当然要进你用的WINDOWS用户里。然后再用360与你的杀软清除。


    为什么要先做第一步呢。因为现在的杀毒软件都是以清EXE执行文件与DLL库文件.只冶标不冶本.要记下病毒名字.然后再去注册表里再去搜索一下.
再试试.记得查找病毒.在正常模式下不行.一定要去安全模式下进行查杀.为什么杀软不能发现你的病毒呢.只因为你现在已经查杀了EXE与DLL的病毒文件.这是杀标.却不能查杀出病毒的别的文件.这时要靠自己去找了.这就是杀本. 

 

    正常的删除以后会出现,你可以试用360的粉碎机粉碎了,然后注册表里把SACHOST和SACHOSTX2个删除!应该就没问题了!

 

一般中病毒是在C盘WINNT/SYSTEM32/WBEM下的SACHOST.EXE

 

开始—>运行—>msconfig,在启动一栏,把信任的启动项之外的其他启动项都清理了!

----------------------------------------------------------------------------

系统时间被改为:2099年1月1日或者2088年,杀毒软件扫描出病毒文件,但清除后依然存在.

 

----------------------------------------------------------------------------

 

以下是手动删除方法:请下载工具 UNLOCKER和SRENG   安装UNLOCKER

 

先不改回时间,进安全模式下,打开杀毒软件的日志,找到病毒文件位置,删除病毒文件,每个盘按照时间排列,生成时间是2099年的文件全部删除,删除不了的点右键--UNLOCKER---解锁删除.

 

再改回时间 

 

开始--运行   gpedit.msc 进组策略 -不要运行指定的 windows程序 ---把CMD.exe。SACH0ST.exe和MPG4C32.exe添加进去

 

再查找注册表 把上面3项有关的注册表项都删掉,开始--运行--输入REGEDIT   进入注册表

 

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

CheckedValue 编辑改成 1

 

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

Userinit 编辑改为 C:\WINDOWS\system32\userinit.exe, 2000系统改为 C:\WINNT\system32\userinit.exe,

 

删除注册表 (删除项有就删除   没有请继续)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]

 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]

<KernelFaultCheck><C:\WINDOWS\system32\msime.exe>

 

 

删除文件:删除不了的点文件右键--UNLOCKER---解锁删除

 

C:\WINDOWS\system32\MPG4C32.exe

c:\windows\system32\eventrep.dll

c:\windows\system32\sscvlsrv.dll

 

C:\WINDOWS\002.exe

C:\WINDOWS\002.txt

C:\WINDOWS\003.exe

C:\WINDOWS\003.txt

C:\WINDOWS\Listsas.txt

C:\WINDOWS\saslogww.txt

C:\WINDOWS\*.exe

X:\*.EXE

X:\Autorun.inf

 

C:\WINDOWS\system32\下的   inetres.exe 文件,C:\WINDOWS\system32\wbem\下的SACH0ST.exe。

 

打开SRENG    启动项目-- 服务 -- Win32服务应用程序之如下项删除:

 

[VisPlug and Play Removable Storage / tmsscvl] c:\windows\system32\eventrep.dll>[system hardware detecting / sscvlSrv] c:\windows\system32\sscvlsrv.dll>

 

最后用这个和杀毒扫描一下

 

ASN.2病毒专杀工具.

 

使用迅雷下载:复制下面的地址,启动迅雷,点击上边的:[文件]_点击:新建(N)_在弹出的对话框,粘贴复制的地址上去,点击:[确定]即可.

 

http://dl.360safe.com/killer_asn.exe

 

重起

 

 

                                                                         | 回到顶部|

桂ICP备05014668号