磁盘中发现xiwiiuy.exe病毒
症状与现象:
当插入移动U盘访问盘内数据时,杀毒软件自动会监测发现"autorun.inf"病毒,并提示删除,
通过查看U盘隐藏文件发现有一"xiwiiuy.exe"文件,将此文件手工删除,随后使用的过程中发现瑞星监控不能运行,试图尝试使用杀毒软件杀毒也失败,运行360安全卫士与其它系统优化的软件也问题同在.
使用msconfig命令查看系统启动时发现两项自启动项:"C:\Program Files\Common Files\System\akpfhtq.exe"与"C:\Program Files\Common Files\Microsoft Shared\dtajxne.exe"
解决方法:
1.尝试使用系统优化相关软件失败后,采取手工删除文件的方法,在WINDOWS模式下进入启动项目相应的目录,即使显示所有隐藏文件也无法看到对应的文件,运行CMD使用DOS命令进入目录也无法删除.
2.决定在DOS模式下删除其文件,使用系统盘引导进入到DOS模式下,根据分区情况进入到NTFS-DOS模式,进入"C:\Program Files\Common Files\System\"目录,查看隐藏文件会发现akpfhtq.exe文件,
修改此文件的相关属性:attrib -a -h -s akpfhtq.exe
删除文件:del akpfhtq.exe
与文件同在的还有****文件,按照相同的方法处理;
同样,进入到"C:\Program Files\Common Files\Microsoft Shared\"目录,删除dtaj3.xne.exe文件.
3.通过查看发现,每个硬盘分区的根目录都会产生"autorun.inf"与"xiwiiuy.exe"文件,将不同分区的两个
隐藏文件也删除.
4.重启系统,进入到WINDOWS模式,此时无法进入到安全模式,运行360安全卫士扫描会发现"C:\Program Files"目录下有个木马程序meex.exe文件,在正常模式是无法删除的,按照上述方法返回到DOS状态下通过手动方式将meex.exe文件删除掉.
5.再次进入WINDOWS系统,确保使用360安全卫士检测没有木马或插件后,使用一款扫描工具,---System Repair Engineer(SREng)专门用来检测系统的启动项,其中有N多个启动项,注册表位置:HKEY-MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENT VERSION\IMAGE FILE EXECUTION OPTIONS\指向的程序均为"dtajxne.exe"文件,将其全部删除.
(切记在病毒没有完全查杀前不要插入移动存储介质)
6.此时可以运行杀毒软件了,将硬盘所有分区查杀一遍
7.运行GPEDIT.MSC组策略--计算机配置---管理模板---系统,关闭自动播放功能
8.问题解决
典型的IFEO劫持.(使用卡巴要及时升级!)
下载冰刃1.22地址:http://www.onlinedown.net/soft/53325.htm
改名为2.com运行-文件-设置-禁止进程创建
删除文件
C:\Program Files\Common Files\Microsoft Shared\dtajxne.exe
C:\Program Files\Common Files\System\akpfhtq.exe
每个分区的
xiwiiuy.exe和autorn.inf
用改了名的SRENG.EXE
删除注册表中:
<mqovgwi><C:\Program Files\Common Files\System\akpfhtq.exe> []
<xiwiiuy><C:\Program Files\Common Files\Microsoft Shared\dtajxne.exe> []
还有所有的IFEO劫持项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AppSvc32.exe]
<IFEO[AppSvc32.exe]><C:\Program Files\Common Files\Microsoft Shared\dtajxne.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ArSwp.exe]
<IFEO[ArSwp.exe]><C:\Program Files\Common Files\Microsoft Shared\dtajxne.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AST.exe]
<IFEO[AST.exe]><C:\Program Files\Common Files\Microsoft Shared\dtajxne.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autoruns.exe]
<IFEO[autoruns.exe]><C:\Program Files\Common Files\Microsoft Shared\dtajxne.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AvastU3.exe]
<IFEO[AvastU3.exe]><C:\Program Files\Common Files\Microsoft Shared\dtajxne.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avconsol.exe]
<IFEO[avconsol.exe]><C:\Program Files\Common Files\Microsoft Shared\dtajxne.exe> []
...
修复安全模式
关于SRENG的操作,参看:http://forum.ikaka.com/topic.asp?board=28&artid=8270267&page=1
最后
打开我的电脑-工具-文件夹选项-查看-显示隐藏文件-隐藏受保护的系统文件(勾去掉)-确定
重起进入安全模式(开机不停的按F8,选择安全模式启动) 清空临时文件夹:
C:\Documents and Settings\用户名\Local Settings\Temporary Internet Files
C:\Documents and Settings\用户名\Local Settings\Temp
