病毒名字为Worm.Mail.Brontok.d 病毒运行以后,
在windows目录下建立shellnew目录把自己复制进去,起名为bronstab.exe,并设置文件属性为隐藏
把自己复制到windows目录下,名字为:eksplorasi.exe,并设置文件属性为隐藏
把自己复制到application data,名字为:smss.exe
把自己复制到application data,名字为:services.exe
把自己复制到application data,名字为:lsass.exe
把自己复制到application data,名字为:inetinfo.exe
把自己复制到application data,名字为:csrss.exe
在注册表启动项添加 bron-Spizaerus" c:\windows\shellnew\bronstab.exe
在注册表启动项添加 Tok-Cirrhatus" application data,名字为:smss.exe
在system.ini下添加BOOT shell=explorer.exe c:\windows\eksplorasi.exe
修改注册表值:current_user\software\microsoft\windows\currentversion\Explorer\Advanced
HideFileExt:0x00000001,隐藏文件扩展
修改注册表值:current_user\software\microsoft\windows\currentversion\Explorer\Advanced
Hidden:0x00000000,不显示隐藏文件
修改注册表值:current_user\software\microsoft\windows\currentversion\Explorer\Advanced
ShowSuperHidder:0x00000000
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,中建立NoFolderOptions,屏蔽“文件夹选项”
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\中建立disableCMD,屏蔽CMD方式
建立注册表值:current_user\software\microsoft\windows\currentversion\policies\system
disableregistrytools:0x00000000,屏蔽注册表编辑工具
添加注册表项目:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Bron-Spizaetus" = "%Windir%\ShellNew\bronstab.exe"
HKEY_current_user\software\microsoft\windows\currentversion\run下也有
启动 中有empty快捷方式.
application data目录下:发现文件 bron.tok-10-17
loc.Mail.Bron.Tok
Ok-SendMail-MailBron-tok
Kosong.Bron.Tok.txt
在我的图片文件夹中出现 about.Brontok.A.htm文件
我的文档中有图片文件的子文件夹中出现一个与文件夹名相同的.exe文件.
以下是我的杀毒经过,以前并不知道这是Worm.Mail.Brontok.d,也没有在网上查找相关资料。
1、首先任务管理器看看有没有什么不正常的进程,并结束掉,但发现没效果。
2、打开注册表,因为注册表被禁用了,所以先取消禁用。把以下内容写入记事本并保存为reg文件(注意文件后面有个回车),双击导入。
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword: 00000000
3、删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和HKEY_current_user\software\microsoft\windows\currentversion\run下的相关启动项,其中有一个"Bron-Spizaetus"
=
"c:\winnt\ShellNew\se*(后面几个字母我现在忘了.exe",朋友的电脑系统为2000pro,还有其他的相干启动项(不好意思忘了:)。
如果不清楚的话,run下都删掉也没事,只有有事正常程序开机时不会自动启动。
4、修改注册表NoFolderOptions的值为0,但是一刷新又变回去了。
5、查看服务,没有发现可能是病毒的服务。
6、删掉病毒文件,病毒文件的一个最大特征就是大小为100k,主要有:application data下的smss.exe
、services.exe、lsass.exe、inetinfo.exe、csrss.exe和ShellNew文件加夹,启动的empty快捷方式。
做到这里重起电脑,启动后发现没有用。
7、再重起按F8进入安全模式,修改注册表,在cmd下把病毒文件删除,然后运行explorer,进入桌面,修改文件夹属性,可以查看隐藏文件以及不隐藏已知文件类型的扩展名。按F5刷新,文件夹属性没有变回去,我以为这下可以了,但重起后病毒又来了。因此思考着可能是捆绑了explorer,只好暂时放一边,叫朋友到网上下载杀毒软件查一下。
8、朋友装了瑞星,查是查出来了,但没有清除干净,还是杀不了。
9、我郁闷啊,不相信就杀了了,想不是怀疑病毒捆绑系统文件吗,就用启动项目查看工具,结果发现最后一行正常应该是shell =
Explorer.exe,现在是shell=explorer.exe c:\winnt\bronstab.exe.exe,于是明白了。
好了废话说了一打堆,下面是真正有效的杀毒方法。
F8进入进入安全模式,输入regedit打开注册表,删除两个run项下的启动项目,在注册表中查找c:\winnt\shellnew\bronstab.exe.exe或许你的电脑是c:\windows\shellnew\bronstab.exe根据启动项目查看工具查出来的为准,或者不用启动项目查看工具直接到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon]项修改"Shell"="Explorer.exe";在命令行下删除病毒文件,最重要的是删除开始/程序/启动中的empty快捷方式(empty.pif),因为病毒文件是隐藏的,这里有个命令要知道:dir
/ah查看隐藏文件。
其他病毒文件可以在正常启动系统下删除,记得要去掉隐藏显示扩展名,或者用杀毒软件扫描一下应该可以删除掉。
附件有SYSINFOCOLLECT,可以查看启动项目,还有其他功能使用时可以只查看启动项目;和一个解除注册表限制的注册表文件,双击导入就行。
排除网速的问题,显卡是比较差劲的,如果有能力可以考虑更换为NVIDIA GeForce GT 650、750、850、950及以上。如果不想换硬件,最好的办法就是将游戏的显示选项全部调到最低。
