45fan.com - 路饭网

搜索: 您的位置主页 > 电脑频道 > 电脑教程 > 阅读资讯:U盘出现xiaoshen.exe病毒怎么处理?

U盘出现xiaoshen.exe病毒怎么处理?

2015-08-14 04:54:45 来源:www.45fan.com 【

U盘出现xiaoshen.exe病毒怎么处理?

 

运行 xiaoshen.exe 后 访问网络 生成
C:WINDOWSsystem32Update.exe
C:WINDOWSsystem32update2.exe
C:WINDOWSsystem32update3.exe
C:WINDOWSsystem32update4.exe
C:WINDOWSsystem32update9.exe
C:Documents and SettingsmoperyLocal SettingsTemporary Internet FilesContent.IE563U70503desktop.ini
C:Documents and SettingsmoperyLocal SettingsTemporary Internet FilesContent.IE563U70503host[1].txt
C:Documents and SettingsmoperyLocal SettingsTemporary Internet FilesContent.IE563U70503up5[1].jpg
C:Documents and SettingsmoperyLocal SettingsTemporary Internet FilesContent.IE5B006ZRBGdesktop.ini
C:Documents and SettingsmoperyLocal SettingsTemporary Internet FilesContent.IE5B006ZRBGup2[1].jpg
C:Documents and SettingsmoperyLocal SettingsTemporary Internet FilesContent.IE5LRVZUX8Hdesktop.ini
C:Documents and SettingsmoperyLocal SettingsTemporary Internet FilesContent.IE5LRVZUX8Hdesktop.ini
C:Documents and SettingsmoperyLocal SettingsTemporary Internet FilesContent.IE5OZENOVM1desktop.ini
C:Documents and SettingsmoperyLocal SettingsTemporary Internet FilesContent.IE5OZENOVM1desktop.ini

还在每个盘符下 生成
xiaoshen.exe 和 autorun.inf

C:WINDOWSsystem32driversetchosts
内容为
127.0.0.1 qq.etsoft.com.cn
61.152.90.31 zt.abcoll.com


然后 Update.exe 那几个分别运行..

C:WINDOWSsystem32Update.exe
就写入一个注册表
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
[Update] C:WINDOWSsystem32Update.exe


C:WINDOWSsystem32update2.exe
释放文件
C:Program FilesCommon FilesMicrosoft SharedMSINFO50948A91.dat
C:Program FilesCommon FilesMicrosoft SharedMSINFO50948A91.dll
C:WINDOWSHelpwshmcepts.chm
修改系统文件 C:WINDOWSsystem32verclsid.exe 为 C:WINDOWSsystem32verclsid.exe.bak

注册表项
HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks
[{48A95094-5094-8A91-948A-094A90948A91}]

HKCRCLSID{48A95094-5094-8A91-948A-094A90948A91}InProcServer32
[默认]C:Program FilesCommon FilesMicrosoft SharedMSINFO50948A91.dll

具体参考:http://forum.ikaka.com/topic.asp?board=28&artid=8201339


C:WINDOWSsystem32update3.exe
生成文件
C:DOCUME~1moperyLOCALS~1Tempmc21.tmp
C:nxldr.dat

注册表项
HKLMSYSTEMCurrentControlSetServicesNetWorkLogon
HKLMSYSTEMCurrentControlSetServicesmchInjDrv


C:WINDOWSsystem32Update4.exe
生成文件
C:20061023.dat
C:20061026.dat
C:WINDOWSsystem32Ravdm.exe
C:WINDOWSsystem32DriversRinld.sys

hosts 添加 125.65.77.72 www.qo263.com

C:WINDOWSsystem32Ravdm.exe 具体的处理方法参考:http://forum.ikaka.com/topic.asp?board=28&artid=8156736


C:WINDOWSsystem32update9.exe
生成文件
C:WINDOWSIntelrundll32.exe
C:WINDOWSsystem32ztdll.dll

注册表项
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
[rzt] C:WINDOWSIntelrundll32.exe
具体的处理方法..安全模式下操作..

先清空IE临时文件夹..
删除文件
C:WINDOWSsystem32Update.exe
C:WINDOWSsystem32update2.exe
C:WINDOWSsystem32update3.exe
C:WINDOWSsystem32update4.exe
C:WINDOWSsystem32update9.exe

右键 打开 盘符
删除
xiaoshen.exe 和 autorun.inf

C:WINDOWSsystem32driversetchosts 用 记事本 打开..
127.0.0.1 localhost
下面的全部删除..


C:WINDOWSsystem32Update.exe


处理方法
删除注册表
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
[Update]


C:WINDOWSsystem32update2.exe
参考:http://forum.ikaka.com/topic.asp?board=28&artid=8201339 处理..


C:WINDOWSsystem32update3.exe
处理方法
删除文件
C:DOCUME~1moperyLOCALS~1Tempmc21.tmp
C:nxldr.dat

打开注册表 删除
HKLMSYSTEMCurrentControlSetServicesNetWorkLogon
HKLMSYSTEMCurrentControlSetServicesmchInjDrv


C:WINDOWSsystem32Update4.exe
参考:http://forum.ikaka.com/topic.asp?board=28&artid=8156736 处理..


C:WINDOWSsystem32update9.exe
处理方法
删除文件
C:WINDOWSIntelrundll32.exe
C:WINDOWSsystem32ztdll.dll

打开注册表 删除
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
[rzt]


以上操作全部需要在安全模式下...

 

本文地址:http://www.45fan.com/dnjc/17697.html
Tags: 处理 病毒 xiaoshen.exe
编辑:路饭网
  • 上一篇:音响滋滋响是怎么回事?
  • 下一篇:dllhost.exe病毒怎么清除?
    • 相关文章列表
    推广内容
    推荐阅读
    热门推荐
    推荐文章
    关于我们 | 联系我们 | 友情链接 | 网站地图 | Sitemap | App | 返回顶部

    Copyright ©2012-2013 . 版权所有  

    路饭网|路由器设置|192.168.1.1|无线路由器设置|192.168.0.1 www.45Fan.com