该
病毒注入Explorer进程,盗取用户密码、帐号等敏感信息!System22
病毒木马解决办法:
1、查看任务管理器中的可疑进程,将其关闭;
2、杀毒前先看一下msconfig的启动里有没有可疑程序,如果有的去掉勾,重启,因为如果木马正在运行的时候是删除不了的;
3、关闭系统还原功能,升级卡巴斯基病毒库到最新版本,下载
Autorun病毒专杀工具;
4、重启系统进入安全模式,运行
卡巴开始杀毒,同时结束explore进程,因为该病毒注入Explorer进程进而进行复制。等待N久,估计杀毒软件已经进行了全盘杀毒,打开explore进程,重启系统;
5、再次进入安全模式,Autorun病毒专杀工具进行查杀,最后再使用360进行剩余
文件清理。
注意:此方法笔者实际操作成功过,不能保证适用于所有,有些网友按照此方法也查杀成功过,如果不能查杀,笔者只能建议网友自行分析下面的病毒技术参数,自行解决了,祝您好运。
病毒技术参数:
进程位置: %Temp%\system22.
exe或%System32%\system22.
exe
程序用途: 病毒运行后,复制自身到:
%ProgramFiles%\Internet Explorer\PLUGINS\NewTemp.bak
并释放dll:
%ProgramFiles%\Internet Explorer\PLUGINS\NewTemp.dll
注入explorer.exe进程,监视发.送到消息队列的消息,盗取用户密码,帐号等敏感信息创建ShellExecuteHooks,随机启动:
[HKEY_CLASSES_ROOT\CLSID\\InProcServer32]
@="%ProgramFiles%\Internet Explorer\PLUGINS\NewTemp.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
" "="%ProgramFiles%\Internet Explorer\PLUGINS\NewTemp.dll"
病毒会在各分区根目录复制副本,创建autorun.inf实现自动.播放时运行病毒的动作: 字串3
X:\autorun.inf
X:\PegeFile.pif
autorun内容:
[autorun]
open=PegeFile.pif
shellexecute=PegeFile.pif
shell\Auto\command=PegeFile.pif
shell=Auto
病毒会注入
Explorer.exe反弹连接,访问网络下载其它病毒或恶意程序并自动运行:
%Temp%\1.exe
%Temp%\2.exe
%Temp%\3.exe
%Temp%\4.exe
%Temp%\5.exe
%Temp%\6.exe
%Temp%\7.exe
%Temp%\8.exe
%Temp%\9.exe
%Temp%\10.exe
%Temp%\11.exe
%Temp%\12.exe
%Temp%\13.exe
%Temp%\14.exe
%Temp%\15.exe
%Temp%\16.exe
%Temp%\17.exe
%Temp%\system22.exe
添加注册表项,记录自身和下.载的病毒的版本信息:
[HKCU\Software\SetVer\ver]
