前几天我的电脑感染了一种病毒,感染后系统时间变成1980年、硬盘(系统盘除外)的右键菜单第一项变成“Auto”,双击硬盘会重新打开一个窗口。我使用江民查毒查不到,然后检测未知病毒,发现每个硬盘分区里都有一个“Nbpiu.exe”文件,删除之后系统正常,但“Auto”还是存在,请问如何才能把“Auto”去掉,让“打开”变成右键菜单第一项呢?
谢谢!
參考答案:时间退缩..1980年..现在病毒够阴险..
是个U盘病毒..文件名随机..
具体写个分析..
运行样本生成文件
C:\WINDOWS\Listsas.txt
C:\WINDOWS\saslogww.txt
C:\WINDOWS\*.exe
X:\*.exe
X:\Autorun.inf
X=C D E F H .... *=大小写字母随机命名
修改注册表
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,c:\WINDOWS\*.exe"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:***********
生成注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=hex:95,00,00,00
访问网站
Listsas.txt
内容为
4002
4003
30""
31""
31""
listsas.txt 与 服务器上 同步..
内容一样..
系统时间被更改.. 年份被更改为 1980 年..这样能导致一些软件无法使用..
连网下载
C:\WINDOWS\003.exe
C:\WINDOWS\002.exe
同时生成
C:\WINDOWS\002.txt
C:\WINDOWS\003.txt
处理方法:(安全模式操作)
删除文件
C:\WINDOWS\002.exe
C:\WINDOWS\002.txt
C:\WINDOWS\003.exe
C:\WINDOWS\003.txt
C:\WINDOWS\Listsas.txt
C:\WINDOWS\saslogww.txt
C:\WINDOWS\*.exe
X:\*.EXE
X:\Autorun.inf
修复注册表..
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
CheckedValue 编辑改成 1
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Userinit 编辑改为 C:\WINDOWS\system32\userinit.exe, 2000系统改为 C:\WINNT\system32\userinit.exe,
删除注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun" 键值..
(这个键值涉及到一些设置..象我电脑就不会有这个键值..稍微修改下..删除单个键值)
