|
|
|||||||||||
|
|||||||||||||
| 当前位置: 电脑软硬件应用网 > 电脑学院 > 网络安全 > 正文 |
|
|||
| wuaucll.exe、driver.exe病毒的解决办法 | |||
| 2007-3-29 9:56:47 文/佚名 出处:跳出圈外看世界 | |||
|
%Windir%\wuaucll.exe %System%\driver.exe X:\Autorun.inf (X为非系统盘其他盘符) X:\driver.exe 添加或修改注册表信息 [HKEY_CLASSES_ROOT\exefile\shell\open\command] 正常情况下默认为"%1" %*,经过病毒修改使之关联到wuaucll.exe,结果就是执行任意可执行exe文件,则立即运行病毒程序wuaucll.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 右侧名称shell,正常情况下为Explorer.exe,经过病毒修改后再次关联到wuaucll.exe,结果就是即使安全模式下,依然会运行病毒程序wuaucll.exe,在SREng日志下为 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] shell 字符串 Explorer.exe wuaucll.exe 特点: 1、破坏exe文件关联,即使将病毒删除,却无法执行exe文件 2、鼠标左键双击其他盘符,即再次运行病毒,从而进入一个死循环 3、wuaucll.exe冒充系统正常程序wuauclt.exe,driver.exe很drivers 解决过程: 1、在整个操作过程中,均采用鼠标右键打开驱动盘符 2、设置文件夹属性来显示文件扩展名,文件夹选项--查看----“隐藏已知文件类型的扩展名”,取消掉它的勾选 3、修改冰刃IceSword的扩展名,使IceSword.exe更改为 IceSword.com,并运行该程序 4、使用冰刃IceSword结束wuaucll.exe、driver.exe进程,结束前设置禁止进程创建,这里有冰刃IceSword的操作教程 5、修复文件关联,在反病毒常用工具下载里有修复文件关联的批处理,运行之即可 6、修复注册表,打开注册表,找到[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 右侧,将shell字符串修复为Explorer.exe 7、删除所有病毒文件,鼠标右键打开其他驱动盘符,将Autorun.inf、driver.exe删除,如果该文件为隐藏,可以使用反病毒常用工具里显示隐藏文件的批处理 8、文中所涉及工具在反病毒常用工具下载里均有下载 PS: 1、很久没见到破坏文件关联的病毒了,对于新手来说,如果不知道实际原因,面对exe文件无法正常执行,将是件抓狂的事情 2、明确该病毒破坏文件关联和Autorun自动播放相结合的工作方式,在处理思路上会清晰很多 3、解决过程实际并不烦琐,有了好的思路,实际上也就是几分钟的事情 4、如果对Autorun.inf配置文件不熟悉,建议对鼠标左键双击为自动播放进行简单了解 |
|||
| 关于45IT | About 45IT | 联系方式 | 版权声明 | 网站导航 | |
|
Copyright © 2003-2011 45IT. All Rights Reserved 浙ICP备09049068号 |
