开机在D盘能发现myplayer.exe这个文件,首先我们会想到删除,可是如果不把这个文件的批处理文件找到并删除,重启之前依旧会自动生成这个文件。
我们从C盘开始找,用CTRL+F搜索*.ini文件,不要相信网上一些资料所说的某个固定文件,文件是死的,写病毒代码的人是活的,所以要自己认真去找,一个个找开,如果文件里有fn_pif=d:\myplayer.com这一行,那么祝贺你,找的就是它了,我这里的对应文件是nwinsys.ini。内容如下:
[hitpop]
first=1
ver=070922
kv=0
[exe]
fn_pif=d:\myplayer.com
fn=C:\WINDOWS\system\AlxRes070922.exe
[exe_bak]
fn=C:\WINDOWS\system32\inf\scrsys070922.scr
[dll_hitpop]
fn=C:\WINDOWS\system32\winsys32_070922.dll
[dll_start_bak]
fn=C:\WINDOWS\system32\inf\scrsys16_070922.dll
[sys]
bat=c:\myDelm.bat
[dll_start]
fn=C:\WINDOWS\system32\winsys16_070922.dll
[ie]
run=ok
mgck=1
[listion]
run=no
[alexa]
right_tan88=ok
[ver]
type=2
[downfile]
ok=1
alexa=1
我们从C盘开始找,用CTRL+F搜索*.ini文件,不要相信网上一些资料所说的某个固定文件,文件是死的,写病毒代码的人是活的,所以要自己认真去找,一个个找开,如果文件里有fn_pif=d:\myplayer.com这一行,那么祝贺你,找的就是它了,我这里的对应文件是nwinsys.ini。内容如下:
[hitpop]
first=1
ver=070922
kv=0
[exe]
fn_pif=d:\myplayer.com
fn=C:\WINDOWS\system\AlxRes070922.exe
[exe_bak]
fn=C:\WINDOWS\system32\inf\scrsys070922.scr
[dll_hitpop]
fn=C:\WINDOWS\system32\winsys32_070922.dll
[dll_start_bak]
fn=C:\WINDOWS\system32\inf\scrsys16_070922.dll
[sys]
bat=c:\myDelm.bat
[dll_start]
fn=C:\WINDOWS\system32\winsys16_070922.dll
[ie]
run=ok
mgck=1
[listion]
run=no
[alexa]
right_tan88=ok
[ver]
type=2
[downfile]
ok=1
alexa=1
接下来就好办了,先删掉这个文件里提到的几个库文件。这时候你别想删掉它的注册项,因为中了myplayer.exe后,任务管理器,注册表,msconfig都是不能找开的,需要到安全模式下做接下来的事情。
进入安全模式以后,先打开注册表编辑器,因为如果你操作慢了,等下就打不开regedit了,查找自启加载项RUN或者AutoRun,如果有类似上面文件名的一定是病毒文件的启动项。删之而后快~~具体键值是 [[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run]
有的文件名不一定是配置文件里的文件名,这个就要自己慢慢找了,利用windows系统的搜索功能,注意用时间排列文件,myplayer不会改变文件修改和创建时间,这点是我们查找病毒文件的好的出发点,我花了四个小时搞定它,目标只有一个,就是解决病毒,方法自己摸索,我这里只是总结一下我的思路。
我们可以利用Autoruns 8.73 IceSword这两个工具分析和查找,大家自己体会,功能很强大。
合理利用组策略,禁止某些固定的病毒执行程序运行。
