wuaucll.exe(driver.exe)的查杀办法

电脑一开机就假死着,估计是中毒了,打开任务管理器,发现若干不明进程,一一结束了,不过有两个甚为顽固wuaucll.exe和driver.exe,结束了以后又自动运行。google了下,发现它的特点:

1、植入系统并成功运行后,更改.exe文件关联。中招后,用户运行任何.exe程序,都将激活木马wuaucll.exe。用SREng在WINDOWS模式下不能修复.exe文件关联!
2、wuaucll.exe和driver.exe双进程,互相守护。
3、植入系统后wuaucll.exe反复不停的写木马文件及其加载项(很俗)。
4、如果你在WINDOWS模式急急忙忙地将木马文件删除的干干净净,而没成功地修复exe文件关联,重启后,你就傻了!虽然可以更改SREng的后缀来运行SREng,但还是无法用其修复.exe文件关联。您的所有.exe程序无法运行。

遇到鬼了自然要杀了

二、手工处理流程:
1、启动到安全模式下。
2、打开记事本。将下列内容粘贴到记事本窗口。保存为Fix.reg。

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe"

3、运行IceSword 1.2。用IceSword 1.2禁止进线程创建。
4、用IceSword 1.2结束下列进程:
C:\WINDOWS\wuaucll.exe
C:\WINDOWS\SYSTEM32\driver.exe
5、用IceSword找到并删除这些木马文件。
如果你事先打开了资源管理器,也可不用IceSword删除木马文件。取消IceSword的禁止进/线程创建、设置文件夹选项(显示隐藏文件)后,借助资源管理器找到并删除那些木马文件。
6、双击Fix.reg,将其导入注册表。

【注意】:如果你的电脑还有E、F....等分区,这些分区根目录下也有autorun.ini和update.exe,也要删除。

方法基本上就是这些,不过我没用icesword,而是用mcafee8.5配合任务管理器结束进程干掉的,因为mcafee会查出wuaucll.exe,不过它删不了(这个木马驻留在内存中当然杀不了),结束掉这个进程,mcafee立即生效了清处病毒文件,这下再去结束那个driver.exe,同样清掉.来个全盘扫描,大小病毒就这么搞定

(0)

相关推荐

  • wowexec.exe比较简单的查杀办法(毒霸就是wowexec.exe专杀工具)

    注意:wowexec.exe是系统进程,但是如果前面带一个空格,就是病毒.wowexec.exe病毒解决办法: 1.下载毒霸,并升级到最新病毒库,进入安全模式,关闭系统还原,查杀该病毒,下载地址::http://www.duba.net,避免感染病毒变种,引起文件或照片被破会: 一般第一步就可解决问题,建议大家安装360,这样对于添加注册表运行的功能就没有了,下面的操作也就不必要了.2.删除病毒的注册表键值,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window

  • wuaucll.exe(driver.exe)的查杀办法

    电脑一开机就假死着,估计是中毒了,打开任务管理器,发现若干不明进程,一一结束了,不过有两个甚为顽固wuaucll.exe和driver.exe,结束了以后又自动运行.google了下,发现它的特点: 1.植入系统并成功运行后,更改.exe文件关联.中招后,用户运行任何.exe程序,都将激活木马wuaucll.exe.用SREng在WINDOWS模式下不能修复.exe文件关联! 2.wuaucll.exe和driver.exe双进程,互相守护. 3.植入系统后wuaucll.exe反复不停的写木马

  • shualai.exe病毒及手工查杀方法

    这是个利用ANI漏洞传播的木马群,其"动态插入进程"的功能是导致中招后杀毒困难的原因之一. 另:中招后,系统分区以外的.exe全被感染.这也是中此毒后的麻烦之处. 中招后的"症状":进程列表中可见shualai.exe进程. 建议:用SRENG扫份日志保存,以便弄清基本情况,便于后面的手工杀毒操作. 手工查杀流程如下(用IceSword操作): 1.禁止进程创建. 2.根据SRENG日志,先结束病毒进程shualai.exe以及所有被病毒模块插入的进程(病毒插入了哪

  • bsmain.exe 瑞星仇恨者查杀方法

    病毒具体分析如下: Quote: File: bsmain.exe Size: 131072 bytes File Version: 20.00 Modified: 2008年3月7日, 22:18:04 MD5: 1EFE96D8D20513351DB5C1681D7BBAFE SHA1: 3447D88F4789A1F969F7E0A2501CE16B629DC63D 1.病毒初始化,试图卸载瑞星杀毒软件,首先尝试直接启动C:\Program Files\Rising\Rav\update\

  • 对于最近出现的Death.exe病毒及其变种的手工查杀办法不用专杀工具

    病毒症状: 杀毒软件被禁用.隐藏文件无法显示.开始命令msconfig无法运行.很多辅助软件也无法运行,运行EXE以及SCR 文件后被病毒的感染 手动查杀用到的软件: SRENG软件以及XDELBOX软件 Quote: 病毒名称:Trojan-Downloader.Win32.Agent.**** 病毒类型:木马 病毒MD5:2ccd81d7d358778b11de9303e0097d2d 加壳类型:UPX 编写语言:Borland Delphi 6.0 - 7.0 病毒运行 生成进程: Cod

  • RAV0088.exe RAV0088.DAT手工查杀方法

    病毒名称:N/A(Kaspersky) 病毒别名:Win32.Troj.OnLineGamesT.cu.65536 [dll](毒霸) 病毒大小:9,420 字节 加壳方式:PE_Patch UPack 样本MD5:e14c15ece526b8dea5347b1bdad8afe0 样本SHA1:31bd81eaf9182e9f87a9c2df55fa748a8c1ce0ad 发现时间:2007.8 更新时间:2007.8 关联病毒: 传播方式:通过恶意网站传播,其它木马下载 技术分析 =====

  • u盘病毒清除 Discovery.exe查杀方法

    这是之前niu.exe病毒的最新变种,最近该病毒的新变种传播又有所抬头,希望大家注意. Quote: File: Discovery.exe Size: 74240 bytes Modified: 2008年2月2日, 0:03:34 MD5: 2DA55F2A36E852EE6FC96D34DD520979 SHA1: 44CE8F1C1A02591A88867F421C0C658B200D94C1 CRC32: E20E292D 1.病毒运行后,衍生如下副本及文件: Quote: %syst

  • HDM.exe手工查杀U盘病毒的方法

    HDM.exe手工查杀U盘病毒的方法

    HDM.exe是一个恶性的U盘病毒,其破坏力巨大,主要表现在以下几个方面: Quote: 1.使用恢复SSDT的方式破坏杀毒软件 2.IFEO映像劫持 3.关闭指定窗口 4.删除gho文件 5.破坏安全模式,以及显示隐藏文件功能 6.感染htm等网页文件 7.猜测密码通过局域网传播 8.通过U盘等移动存储传播 9.arp欺骗 具体分析如下: Quote: File: HDM.exe Size: 13312 bytes Modified: 2007年11月28日, 16:52:08 MD5: 7E

  • md9.exe scvhost.exe 只木马下载者查杀方法

    从http://www.ittool.cn/d123.exe 下载病毒文件 它使用rar自解压文件,广告,病毒 等很多垃圾软件,很恶心 查杀方法:www.360safe.com 下载即可删除

  • 最新病毒结合auto.exe,游戏盗号木马下载者手工查杀microsofts.vbs

    最新病毒结合auto.exe,游戏盗号木马下载者手工查杀下面是启用病毒的代码microsofts.vbs 复制代码 代码如下: Set Lovecuteqq = CreateObject("Wscript.Shell") Lovecuteqq.run ("C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\microsofts.pif") 木马名称:Trojan-PSW/Win32.OnLineGames.lxt 路径:C:\WINDOWS\sys

随机推荐