查看: 2438|回复: 2
收起左侧

[讨论] 4a55ef08.exe

[复制链接]
64958263
发表于 2007-6-5 22:33:22 | 显示全部楼层 |阅读模式
朋友几天发现中毒,开机发现kav打不开,我用winrar看了下,发现盘符下有autorun.ifn,可是只能看一眼,它立即自己把winrar给关了,隐藏文件选项不能打开,安全模式不能进入,所有杀软不能安装,已经安装的不能启动,在ie里搜索关于病毒的网页,ie自动关闭,任务管理器里无进程,最后用很笨的办法才找出它的名字“4a55ef08。exe”找了下,好象是新病毒,给大家发下解决办法,是网上找到的。
病毒现象:
自动Mcafee,瑞星,卡巴斯基等常见的杀毒软件;
自动禁止360Safe,超级兔子等流氓程序清理软件;
禁止访问常见杀毒软件网站;
访问的网站页面中,包含一些特定的杀毒软件名称时,会自动关闭浏览器;
为每个盘添加autorun.inf和一个可执行文件(文件名不固定),如果有移动设备插入,则移动设备也会被自动感染;
病毒会自动禁止常见的进程管理软件;
在Windows 进程中查找不到该病毒的文件;
无法设置资源管理器查看隐藏文件;
进入安全模式时,蓝屏
处理方法:
使用Windows任务管理器终止 explorer.exe
在任务管理器中运行 cmd.exe
命令 cd "c:\Program Files\Common Files\Microsoft Shared\MsInfo\"
命令 dir /ah 查看隐藏文件,发现以下文件(文件名不固定):4A55EF08.dat 和 4A55EF08.dll,请记录下文件名称,方便后面使用。
在任务管理器中运行 regedit.exe 注册表编辑器
删除 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks 下相应的键值,如上面查看到的隐藏文件名为4A55EF08.dll,则删除 包含以下规则的键值 {******-4A55-EF08-*******}
重启计算机,重启后,请不要进入“我的电脑”
再次重复以上1-4的步骤,在CMD窗口中运行以下命令 attrib -h -s -r 4A55EF08.* ,删除其隐藏和只读的属性
删除文件 del 4A55EF08.* 重启后,使用Windows搜索,高级选项中选择“搜索隐藏的文件和文件夹”查找 4A55EF08.* 和autorun.inf,然后全部删除。
再次重启计算机。
重新安装杀毒软件,彻底清理。
重要提示:
     当您不确认硬盘中是否完全清理时,在我的电脑中,访问磁盘分区时,请使用右键,选择资源管理器浏览磁盘中的文件,或使用CMD命令 dir /ah c: 查看是否存在 autorun.inf,如果发现,可使用上面的方法,删除其隐藏和只读属性,然后再删除它。
     同样,在使用U盘等移动存储器设备时,尽量不要双击盘符,使用资源管理器打开和访问文件,这样做可以避免U盘中的病毒自动执行并感染您的机器。

        以上为一网友提供的解决方法,我的机器中的病毒形成的文件是486C3B517.dat和486C3B517.dll。按照以上办法处理后,我的机器仍然安装不上瑞星,总是提示通用库安装错误。于是,下载了卡巴斯基来试,安装后卡巴斯基仍然是不能够启动。
       网上说把AVP.EXE文件改名后,可以使用,但由于它的安装目录是只读的,并且改不成非只读,因此考虑就另外建立了一个目录,把卡巴斯基目录中的文件全部拷入,然后将AVP.EXE改名,于是卡巴斯基就启动了,用它查杀出了许多病毒。
        但是,问题仍然没有彻底解决,IE起始页是类似www.hao123.com的网址,AVP.EXE仍然不能用原文件名执行,网页访问360等网站仍然访问不了,进入安全模式时,蓝屏。
       后来是按如下方式,把这4个问题一个一个地解决了“
       1.在DOS窗口进入D盘和E盘,使用命令 dir /ah 都发现根目录下仍然存在486C3B517.dat这样的隐藏文件,将它们全部删除。
       2.IE快捷方式的目标属性为"C:\Program Files\Internet Explorer\iexplore.exe www.hao123.com...."将该网址去掉。
      3.查询有关资料,发现AVP.EXE不能用原文件名执行的原因是由于病毒使用了windows映像劫持技术(IFEO)。
     映像胁持的基本原理: 
     NT系统在试图执行一个从命令行调用的可执行文件运行请求时,先会检查运行程序是不是可执行文件,如果是的话,再检查格式的,然后就会检查是否存在。。如果不存在的话,它会提示系统找不到文件或者是“指定的路径不正确等等。。  
当然,把这些键删除后,程序就可以运行!

解决并预防IFEO:
方法一:   限制法(转自网络搜索)
它要修改Image File Execution Options,所先要有权限,才可读,于是。。一条思路就成了。。
开始-运行-regedt32 (这个是系统的32位注册表,和注册表操作方法差不多)
然后还是展开到: )
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
方法二:
把[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]项删除即可
方法三:
使用IFEO映像挟持修复程序修复!
IFEO映像挟持修复程序.rar
方法四:
使用SREngLog 1.2 特别版——>修复指令文件——>映像胁持修复!

       4.到C:\WINDOWS\system32\drivers\etc目录,删除host文件,被禁止访问的网站就可以访问了。
       5.下载了一个XPSP2.zip文件,里面有两个“修复XPSP2无法进入安全模式”的注册表文件,执行后,就可以进入安全模式
飘蓝一尘
发表于 2007-6-5 23:37:34 | 显示全部楼层
LZ说到的中毒症状恰好是我寝室的同学的症状,不过当时没有这篇文章
最后她选择格全盘,可怜
64958263
 楼主| 发表于 2007-6-8 09:01:38 | 显示全部楼层
新病毒好象,破坏性不强,或许正是因为作者舍弃破坏性才让它这么难搞.....
再教一招,一般强制隐藏的文件通过winrar还是可以看到的,不过只能看到大概1s,这时用截屏的方法可以知道病毒程序的名字,然后去查找解决方法。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 16:56 , Processed in 0.107972 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表