病毒wuaucll.exe、driver.exe的解决办法
2007-04-27 16:55
375 查看
病毒wuaucll.exe、driver.exe的解决办法
%Windir%/wuaucll.exe
%System%/driver.exe
X:/Autorun.inf (X为非系统盘其他盘符)
X:/driver.exe
添加或修改注册表信息
[HKEY_CLASSES_ROOT/exefile/shell/open/command]
正常情况下默认为"%1" %*,经过病毒修改使之关联到wuaucll.exe,结果就是执行任意可执行exe文件,则立即运行病毒程序wuaucll.exe
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon]
右侧名称shell,正常情况下为Explorer.exe,经过病毒修改后再次关联到wuaucll.exe,结果就是即使安全模式下,依然会运行病毒程序wuaucll.exe,在SREng日志下为
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon]
shell 字符串 Explorer.exe wuaucll.exe
特点:
1、破坏exe文件关联,即使将病毒删除,却无法执行exe文件
2、鼠标左键双击其他盘符,即再次运行病毒,从而进入一个死循环
3、wuaucll.exe冒充系统正常程序wuauclt.exe,driver.exe很drivers
解决过程:
1、在整个操作过程中,均采用鼠标右键打开驱动盘符
2、设置文件夹属性来显示文件扩展名,文件夹选项--查看----“隐藏已知文件类型的扩展名”,取消掉它的勾选
3、修改冰刃IceSword的扩展名,使IceSword.exe更改为 IceSword.com,并运行该程序
4、使用冰刃IceSword结束wuaucll.exe、driver.exe进程,结束前设置禁止进程创建,这里有冰刃IceSword的操作教程
5、修复文件关联,在反病毒常用工具里有修复文件关联的批处理,运行之即可
6、修复注册表,打开注册表,找到[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon]
右侧,将shell字符串修复为Explorer.exe
7、删除所有病毒文件,鼠标右键打开其他驱动盘符,将Autorun.inf、driver.exe删除,如果该文件为隐藏,可以使用反病毒常用工具里显示隐藏文件的批处理
8、文中所涉及工具在置顶的反病毒常用工具里均有下载
PS:
1、很久没见到破坏文件关联的病毒了,对于新手来说,如果不知道实际原因,面对exe文件无法正常执行,将是件抓狂的事情
2、明确该病毒破坏文件关联和Autorun自动播放相结合的工作方式,在处理思路上会清晰很多
3、解决过程实际并不烦琐,有了好的思路,实际上也就是几分钟的事情
4、如果对Autorun.inf配置文件不熟悉,建议对鼠标左键双击为自动播放进行简单了解
冰刃Icesword
http://hi.baidu.com/1%5F27/blog/item/02a5970f467d9fecab6457f5.html
其实病毒都是利用浏览器的漏洞进行传播,大家在上网的时候最好用火狐浏览器浏览网页,这种浏览器最大的好处就是安全!
火狐浏览器下载地址:http://hi.baidu.com/1%5F27/blog/item/cdc0e2c88db7c6167f3e6f58.html
%Windir%/wuaucll.exe
%System%/driver.exe
X:/Autorun.inf (X为非系统盘其他盘符)
X:/driver.exe
添加或修改注册表信息
[HKEY_CLASSES_ROOT/exefile/shell/open/command]
正常情况下默认为"%1" %*,经过病毒修改使之关联到wuaucll.exe,结果就是执行任意可执行exe文件,则立即运行病毒程序wuaucll.exe
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon]
右侧名称shell,正常情况下为Explorer.exe,经过病毒修改后再次关联到wuaucll.exe,结果就是即使安全模式下,依然会运行病毒程序wuaucll.exe,在SREng日志下为
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon]
shell 字符串 Explorer.exe wuaucll.exe
特点:
1、破坏exe文件关联,即使将病毒删除,却无法执行exe文件
2、鼠标左键双击其他盘符,即再次运行病毒,从而进入一个死循环
3、wuaucll.exe冒充系统正常程序wuauclt.exe,driver.exe很drivers
解决过程:
1、在整个操作过程中,均采用鼠标右键打开驱动盘符
2、设置文件夹属性来显示文件扩展名,文件夹选项--查看----“隐藏已知文件类型的扩展名”,取消掉它的勾选
3、修改冰刃IceSword的扩展名,使IceSword.exe更改为 IceSword.com,并运行该程序
4、使用冰刃IceSword结束wuaucll.exe、driver.exe进程,结束前设置禁止进程创建,这里有冰刃IceSword的操作教程
5、修复文件关联,在反病毒常用工具里有修复文件关联的批处理,运行之即可
6、修复注册表,打开注册表,找到[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon]
右侧,将shell字符串修复为Explorer.exe
7、删除所有病毒文件,鼠标右键打开其他驱动盘符,将Autorun.inf、driver.exe删除,如果该文件为隐藏,可以使用反病毒常用工具里显示隐藏文件的批处理
8、文中所涉及工具在置顶的反病毒常用工具里均有下载
PS:
1、很久没见到破坏文件关联的病毒了,对于新手来说,如果不知道实际原因,面对exe文件无法正常执行,将是件抓狂的事情
2、明确该病毒破坏文件关联和Autorun自动播放相结合的工作方式,在处理思路上会清晰很多
3、解决过程实际并不烦琐,有了好的思路,实际上也就是几分钟的事情
4、如果对Autorun.inf配置文件不熟悉,建议对鼠标左键双击为自动播放进行简单了解
冰刃Icesword
http://hi.baidu.com/1%5F27/blog/item/02a5970f467d9fecab6457f5.html
其实病毒都是利用浏览器的漏洞进行传播,大家在上网的时候最好用火狐浏览器浏览网页,这种浏览器最大的好处就是安全!
火狐浏览器下载地址:http://hi.baidu.com/1%5F27/blog/item/cdc0e2c88db7c6167f3e6f58.html
相关文章推荐
- wuaucll.exe(driver.exe)的查杀办法
- stup.exe***病毒的手动解决办法
- auto.exe病毒的快速解决办法
- “winjava.exe”病毒的一种解决办法
- exe打开方式被木马或病毒修改,无法打开任何可执行文件的解决办法
- 关于Win7系统下使用capDriverConnect()连接失败的解决办法
- 文件夹1KB快捷方式(暴风一号)病毒的解决办法
- Delphi7编译的程序自动中Win32.Induc.a病毒的解决办法
- 关于Wireshark "The NPF driver isn’t running……"解决办法
- 搜狗输入法弹出搜狐新闻的解决办法(sohunews.exe)
- android SDK SDK Manager.exe 无法打开,一闪而过最终解决办法
- eclipse 安卓开发 DDMS files not found:hprof-conv.exe的解决办法
- keil 和 jlink 出现 cannot load driver 的解决办法
- vs2008编译提示“系统找不到HCW.exe”的解决办法
- 轻松解决U盘exe病毒
- 关于delphi编译器病毒,以及解决办法
- 开机出现文件windows root\system32\ntoskrnl.exe的另类解决办法
- java.lang.ClassNotFoundException: com.mysql.jdbc.Driver解决办法
- 系统反复自动注销的解决办法-手刃病毒的过程
- c#调用webbrowser,屏蔽js弹窗代码,同时发布exe后仍旧出现弹窗解决办法