Desktop.exe U盤病毒詳細介紹
一、發現進程當中有wuauserv.exe這個進程
有這個進程的話,說明你的電腦中毒了,表現的方式就是無法顯示計算機中隱藏的文件和文件夾。即使在文件夾選項中選擇了“顯示所有文件和文件夾”,確定后它又自動改回去了。并且感染病毒后,U盤里會帶一個desktop.exe的病毒文件,有一個folder.exe文件,有可能還有desktop2.exe,都是隱藏的,有一些還偽裝成受系統保護的文件。感染到電腦后會生成SVCHOST.EXE病毒母本。
手工刪除它的方法如下:
1.打開任務管理器,把病毒進程wuauserv.exe關掉(這個進程在安全模式里也能被病毒啟動)。
2.打開注冊表編輯器(在開始->運行中輸入regedit),找到
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL],把"CheckedValue"的健值改為1,類型為dword。
修改注冊表,解除“不顯示系統文件和隱藏文件”的問題。
再找到[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon],把"Userinit"這個鍵的鍵值改為"userinit.exe,"(帶逗號的)。
3.然后打開“文件夾選項”->“查看”,把“隱藏受保護的操作系統文件”的勾去掉,把“顯示所有文件和文件夾”選上,確定。
4.進入c:windowssystem32目錄,按照文件類型排序,找到wuauserv.exe文件,刪除。在目錄最底下會發現有兩個注冊表文件,分別是boothide.reg和bootrun.reg,刪除它們(不要管彈出的警告)。
5.最后的一步需要刪除一個svchost.exe文件。先打開任務管理器,可以看到里面有多個SVCHOST.EXE進程,大部分都是全部大寫的字母,其中有一個是寫成小寫的svchost.exe,這個就是病毒的進程。如果你使用的是XP的SP2系統,在進程上點右鍵,選擇"打開所在目錄",就可以打開這個進程所在的目錄,是在c:windowssystem32svchost目錄里。先把這個小寫的svchost.exe進程停止掉,再把這個目錄整個刪除掉,就OK了。
(如果是在system32文件夾下,就是正常文件,如果是在上述文件夾下,就是病毒。)
6.重啟后進入系統,打開任務管理器發現病毒進程沒了。文件夾選項也沒被改,查看病毒文件也沒了。至此終于可以正常隨意地顯示隱藏文件了。
7.中毒的U盤里會帶有desktop.exe這個病毒文件,有folder.exe文件,有的還有desktop2.exe文件,只有在顯示受保護的系統文件的情況下才能看到,刪除時會有警告,不用管他。還有其他一些隱藏文件如autorun.inf,不管他,都刪了。在刪除電腦里的病毒時別忘了把自己U盤插上,把病毒也清了,覺得麻煩就格式化好了。在別人的電腦里使用U盤時先確定該電腦里的進程里有沒有wuauserv.exe,免得再次中招。
二、病毒感染保護機制分析
1.用IceSworld 嘗試刪除c:windowssystem32svchostsvchost.exe文件,發現刪除后過一會兒該文件能重新生成。
2.用process Monitor 1.0 監視 path內容包含svchost.exe的注冊表/文件/進程活動發現在svchost.exe被刪時,系統會自動添加U盤下的desktop.exe進程,desktop.exe活動后會重新創建生成svchost.exe病毒文件。可見desktop.exe是保護svchost.exe病毒的幕后黑手!更為狡猾的是desktop.exe在生成svchost.exe病毒文件后就會自動關閉,很難察覺。
3.用IceSworld 查看U盤下的隱藏文件,發現U盤下不僅有desktop.exe,還有folder.exe,desktop2.exe,autorun.inf文件刪除U盤下這幾個文件。再刪除c:windowssystem32svchostsvchost.exe文件,svchost.exe病毒文件就沒有再生成。
4.wuauserv.exe進程在安全模式下也會啟動,wuauserv.exe進程活動時,如果svchost.exe病毒文件也沒有清除,即使U盤格式化也無濟于事:可能wuauserv.exe和svchost.exe文件能反過來生成U盤下的病毒文件。
5.process Monitor 監視可以發現注冊表以下被添加/改動,按照以下方法改回去即可:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL],把"CheckedValue"的健值改為1,類型為word。
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon],把"Userinit"這個鍵的鍵值改為"userinit.exe,"(帶逗號的)。
