这两天公司多台电脑出现了W32.Qdens!inf 病毒,估计该病毒是W32.Qdens.A的变种病毒,现将一些处理方法写出来,与各位交流:
症状:
电脑中该病毒后,无法进入桌面等界面,提示Explorer.exe、Notepad.exe、taskmgr.exe等多个系统文件被隔离(Symantec),进入安全模式,也是一样,而且由于taskmgr.exe被感染病毒,无法调用任务管理器。由于该病毒是利用QQ来传播的,很多使用QQ,而且相互有加好友的,都感染的该病毒。
该病毒会感染:
%Systemroot%\explorer.exe
%Systemroot%\notepad.exe
%Systemroot%\system32\winmgr.exe
%Systemroot%\system32\mmc.exe
%Systemroot%\system32\notepad.exe
%Systemroot%\system32\taskmgr.exe
%Systemroot%\system32\rundll32.exe
%Systemroot%\system32\internat.exe (注:win2k才有该文件)
%Systemroot%\system32\dllcache\explorer.exe
%Systemroot%\system32\dllcache\mmc.exe
%Systemroot%\system32\dllcache\notepad.exe
%Systemroot%\system32\dllcache\taskmgr.exe
%Systemroot%\system32\dllcache\rundll32.exe
同时,在系统目录下面植入下面病毒程序
%Systemroot%\system32\system.dll
%Systemroot%\system32\wmimgry.exe
%Systemroot%\system32\winver.cpl
注:wmimgry.exe是系统(S)、隐藏(H)、只读(R)属性
由于该在清理之前,采用了Symantec及Ewido进行查杀病毒,Symantec是没有在发现什么了,而Ewido的病毒查杀日志没有保存下来,所以暂时不知道该病毒具体在注册表写入了哪些键值,不过采用这两种杀毒软件查杀,以上症状依然存在,没有解决,最后采用以下方法进行手工杀毒:
清理该病毒的方法:
到命令行安全模式下,恢复下列文件(原文件可以到正常电脑的系统里面查找,也可以到安装光盘的I386目录下查找):
%Systemroot%\explorer.exe
%Systemroot%\notepad.exe
%Systemroot%\system32\winmgr.exe
%Systemroot%\system32\mmc.exe
%Systemroot%\system32\notepad.exe
%Systemroot%\system32\taskmgr.exe
%Systemroot%\system32\rundll32.exe
%Systemroot%\system32\internat.exe (注:win2k才有该文件)
%Systemroot%\system32\dllcache\explorer.exe
%Systemroot%\system32\dllcache\mmc.exe
%Systemroot%\system32\dllcache\notepad.exe
%Systemroot%\system32\dllcache\taskmgr.exe
%Systemroot%\system32\dllcache\rundll32.exe
同时,删除病毒程序:
%Systemroot%\system32\system.dll
%Systemroot%\system32\wmimgry.exe
%Systemroot%\system32\winver.cpl
注:wmimgry.exe是系统(S)、隐藏(H)、只读(R)属性,可以利用以下命令去掉该属性:
attrib wmimgry.exe -s -h -r
然后删除wmimgry.exe程序
至此,W32.Qdens!inf病毒清理完毕。
从以上的处理方法,我们可以看出,在处理一些病毒时,我们经常因为某些程序或是DLL文件被系统调用,无法清除,通常我们是采用结束该系统程序或是采用Killbox.exe这类软件来清理。其实,微软已经给我们提供了一个很好的平台,就是“带命令行的安全模式”,在该模式下面,很多系统程序如explorer.exe并没有被调用,还是可以处理很多问题的。而且,2k/XP在安全模式下面,U盘是可以认得到的。这给我们恢复一些系统程序,尤其是Explorer.exe,有很大的帮助。
另:附上网络上查找到的关于W32.Qdens.A病毒的介绍和处理方法。仅供参考:
Qdens 会透过QQ Messenger 散播病毒,使用此软件的客户请小心
Qdens骇虫会透过QQ Messenger 散播病毒给所有连络人,并且下载一个Trojan 程序到感染的计算机内,骇虫一旦运行,会终止一些程序,使得无法运行。
基本介绍
病毒名称 Worm@W32.Qdens
病毒别名 Trojan.Win32.VB.xb [Kaspersky Lab>, W32/Qeds [McAfee>,W32.Qdens.A[symantec>
病毒型态 Worm
病毒发现日期 2005/05/26
影响平台 Windows 95/98/ME , Windows NT/2000/XP/2003
风险评估
散播程度:中
破坏程度:中
Worm@W32.Qdens 行为描述:
注:%Windir%代表系统所在目录,在Win95/98/me系统默认值为 C:\windows
在WinNT/2000/XP/2003系统默认值为 C:\WinNT
注:在Win95/98/me %System% 默认值为 C:\windows\System
在WinNT/2000/XP/2003 %System% 系统默认值为 C:\WinNT\System32
骇虫会终止和下列程序相关的程序:
%System%\dllcache\notepad.exe
%System%\dllcache\\explorer.exe
%System%\dllcache\\iexplore.exe
%System%\notepad.exe
%Windir%\notepad.exe
..............
骇虫会试图下载并运行文件。
骇虫会透过QQ Messenger 传送病毒本身给所有连络人。
病毒运行后,在%Windir%生成
DHelp.dll
病毒运行后,在%System%生成
DHelp.dll
wmimgr.exe
病毒运行后,在%System%\wbem\ 目录生成
DHelp.dll
更改登录档,如此开机即会启动骇虫。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"Windows Management Instrumentation" = "%System%\wmimgr.exe"
更改登录档,如此工作管理员和登录编辑程序失效。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
Policies\System
"DisableTaskMgr" = "1"
"DisableRegistryTools" = "1
它会在系统盘下生成一系列的病毒文件,同时禁止任务管理器和注册表.用导入注册表来解禁也是不可能的!打开我附件里的注册表编辑器,找到
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
Policies\System
将右边的
"DisableTaskMgr" = "1"
"DisableRegistryTools" = "1
这两个值给删掉!
然后打开任务管理器,进程中应该有一个wmimgr.exe 进程,结束掉!
进C盘搜索DHelp.dll wmimgr.exe 这两个文件,找到后删除,
再将注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 下的
"Windows Management Instrumentation" = "%System%\wmimgr.exe"删除
大功告成........
呵呵,谢谢分享 |
|
设为首页
加入收藏
联系我们
打印本文 
返回顶部 
加入收藏 
关闭窗口
