这个是布朗病毒,我前几天中了一次,杀起来很费劲,用瑞星19.20以上版本应该能杀掉,如果不行参考以下文章:
病毒症状:
[explorer]核心启动中附带有木马C:\WINDOWS\KesenjanganSosial
注册表被锁、文件夹选项消失等等。
病毒添加启动项:
[开始-程序-启动] Empty.pif
[Bron-Spizaetus] C:\WINDOWS\ShellNew\RakyatKelaparan.exe
[Tok-Cirrhatus]
[Tok-Cirrhatus-969] C:\Documents and Settings\[Users]\Local Settings\Application Data\br2961on.exe (数字有可能不是2961)
病毒文件:
C:\Documents and Settings\[用户名]\Application Data\
和
C:\Documents and Settings\[用户名]\Local Settings\Application Data
中有大量病毒程序,比如csrss.exe、inetinfo.exe、winlogon.exe、services.exe、smss.exe、lsass.exe、svchost.exe、Bron.tok-17-x.exe(x为数字)、以及带有“Bron tok”名字的文件,[Users]是指每一个用户名。
准备工具:最新版木马杀客或者恶意软件清理助手。
杀毒步骤:
1、进安全模式,用木马杀客或者恶意软件清理助手结束所有带有Application Data路径的进程。
C:\Documents and Settings\用户名\LocalSettings\ApplicationData\csrss.exe
C:\Documents and Settings\用户名\LocalSettings\ApplicationData\inetinfo.exe
C:\Documents and Settings\用户名\LocalSettings\ApplicationData\services.exe
C:\Documents and Settings\用户名\LocalSettings\ApplicationData\smss.exe
C:\Documents and Settings\用户名\LocalSettings\ApplicationData\svchost.exe
C:\Documents and Settings\用户名\LocalSettings\ApplicationData\lsass.exe
C:\Documents and Settings\用户名\LocalSettings\ApplicationData\winlogon.exe
2、在记事本里面输入以下内容(如果禁止了右键,我们可以从“文件”这里新建一个):
dim wsh
set wsh=wscript.create
object("wscript.shell")
wsh.regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp\Disabled",""
wsh.regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools","0"
wsh.popup ("已经成功解开注册表")
另存为1.vbs或者1.vbe 运行这个文件,注册表就解开了。
3、文件夹选项消失,无法显示隐藏文件、扩展名解决方法,用记事本写以下内容:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
另存为2.reg文件然后双击运行这个文件。
4、恢复显示“文件夹选项”,以便查看隐藏文件即文件扩展名:
运行-gpedit.msc-按回车启动“组策略”,展开——用户配置——管理模板——系统,找到“阻止访问注册表编辑工具”,右键单击将它禁止。同时将“阻止访问命令提示符”也禁止。回到“管理模板”,展开——windows组件——windows资源管理器,找到“工具菜单删除文件夹选项菜单”,选择已禁用即可。
5、开始--运行
输入regedit
确定
进入注册表
修改
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe"C:\WINDOWS\KesenjanganSosial.exe">
为
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe>
修改
[HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\]
AlternateShell = "cmd-brontok.exe"
为
[HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\]
AlternateShell = "cmd.exe"
修改
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\explorer\advanced]
"Hidden"="0"
为
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\explorer\advanced]
"Hidden"="1"
修改
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\explorer\advanced]
"ShowSuperHidden" = "0"
为
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\explorer\advanced]
"ShowSuperHidden" = "1"
修改
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\explorer\advanced]
"HideFileExt"="1"
为
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\explorer\advanced]
"HideFileExt"="0"
修改
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NoFolderOptions="1"
为
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NoFolderOptions="0"
以上数值请对照仔细修改,如果正确则不用修改
删除如下自启动项:
[HKLM\software\microsoft\windows\currentversion\run\]
Bron-Spizaetus = "C:\WINDOWS\ShellNew\RakyatKelaparan.exe"
[HKCU\software\microsoft\windows\currentversion\run\]
Tok-Cirrhatus-1464 = "C:\Documents and Settings\用户名\Local Settings\Application Data\br3951on.exe"
[HKCU\software\microsoft\windows\currentversion\run\]
Tok-Cirrhatus = ""
[HKLM\SoftWare\Microsoft\Windows\CurrentVersionWinlogon\Shell]
Bron-Spizaetus="C:\WINDOWS\ShellNew\RakyatKelaparan.exe"
6、注册表中搜索含有“Bron”“Tok-Cirrhatus” 字符的所有项目,然后删除,保存退出。
7、删除如下文件:
C:\Documents and Settings\用户名\LocalSettings\ApplicationData\csrss.exe
C:\Documents and Settings\用户名\LocalSettings\ApplicationData\inetinfo.exe
C:\Documents and Settings\用户名\LocalSettings\ApplicationData\services.exe
C:\Documents and Settings\用户名\LocalSettings\ApplicationData\smss.exe
C:\Documents and Settings\用户名\LocalSettings\ApplicationData\svchost.exe
C:\Documents and Settings\用户名\LocalSettings\ApplicationData\lsass.exe
C:\Documents and Settings\用户名\LocalSettings\ApplicationData\winlogon.exe
C:\Documents and Settings\用户名\Local Settings\Application Data\br3951on.exe
C:\Documents and Settings\用户名\[开始]菜单\程序\启动\empty.pif
C:\Documents and Settings\用户名\Templates\WowTumpeh.com
C:\WINDOWS\System32\用户名'ssetting.exe
C:\WINDOWS\System32\cmd-brontok.exe
C:\WINDOWS\KesenjanganSosial.exe
C:\WINDOWS\ShellNew\RakyatKelaparan.exe
8、删除开始菜单里面的:
c:\Documents and Settings\[用户名\[开始]菜单\程序\启动\empty.pif
9、删除C:\Windows及C:\WINDOWS\system32目录下的[用户名]'s Setting.scr文件,
10、修改C:\Autoexec.bat,删除里面的字符:"pause",保存退出。
11、清理IE临时文件、用超级兔子或者优化大师等工具清理临时文件。
14、附件-系统工具中删除所有计划任务,再用瑞星全盘杀毒结束
