爱笑的鲨鱼故事内容:GDIPFONTCACHEV1是病毒吗?该怎样处理?
Explorer核心启动中附带有木马C:\WINDOWS\KesenjanganSosial,注册表被锁、文件夹选项消失、如果窗口标题含有特定字符串,则重新启动机器等等。
病毒添加启动项:
[开始-程序-启动] Empty.pif
[Bron-Spizaetus] C:\WINDOWS\ShellNew\RakyatKelaparan.exe
[Tok-Cirrhatus]
[Tok-Cirrhatus-969] C:\Documents and Settings\[Users]\Local Settings\Application Data\br2961on.exe(数字有可能不是2961)
释放病毒文件:
C:\Documents and Settings\[Users]\Application Data\
和
C:\Documents and Settings\[Users]\Local Settings\Application Data
中有大量病毒程序,比如csrss.exe、inetinfo.exe、winlogon.exe、services.exe、smss.exe、lsass.exe、svchost.exe、Bron.tok-17-x.exe(x为数字)、以及带有“Bron tok”名字的文件,[Users]是指每一个用户名。
手动杀毒:
准备工具:木马杀客或者HijackThis或者其他。
说明:[Users]是指C:\Documents and Settings\下的每一个用户名,全文同。有些步骤可能会没有,则略过。
步骤:
1、由于病毒修改了cmd启动,安全模式下用命令提示符也没有作用,正常启动系统,关闭系统还原,打开木马杀客结束所有带有Application Data路径的进程。
2、在记事本里面输入以下内容(如果禁止了右键,我们可以从“文件”这里新建一个):
dim wsh
set wsh=wscript.createobject("wscript.shell")
wsh.regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp\Disabled",""
wsh.regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools","0"
wsh.popup ("已经成功解开注册表")
另存为1.vbs或者1.vbe 运行这个文件,注册表就解开了。
3、解锁注册表、修复文件夹选项消失无法显示隐藏文件和扩展名、直接修改注册表显示系统文件和隐藏文件及扩展名,用记事本写以下内容:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
"DisableCMD"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
"HideFileExt"=dword:00000000
"ShowSuperHidden"=dword:00000001
另存为1.reg文件然后双击运行这个文件。
4、恢复显示“文件夹选项”,以便以后查看隐藏文件及文件扩展名:
运行-gpedit.msc-“本地计算机”策略-用户配置-管理模板-windows组件-windows资源管理器,更改设置:从“工具”菜单删除“文件夹选项”菜单!先选择“启用”,再选择
“已禁用”即可。
5、开始-运行-regedit,打开注册表搜索KesenjanganSosial、RakyatKelaparan、Bron、tok、Bron-Spizaetus、Tok-Cirrhatus、Tok-Cirrhatus-969、NendangBro,搜索到的子项删除。
此步尤为重要,病毒是嵌入到Explorer随着桌面进程启动运行的。如果有“瑞星注册表修复工具3.0.com”、“毒霸注册表修复.EXE”等注册表修复工具,用这些工具修复注册表。
比如:
删除
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Shell的值由Explorer.exe "C:\WINDOWS\KesenjanganSosial.exe"改为EXPLORER.EXE
[HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run]
删除:Bron-Spizaetus = "C:\%system%\ShellNew\RakyatKelaparan.exe"
(%system%在windows xp下指windows\system32,windows 2000下则为WINNT)
[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
删除C:\WINDOWS\KesenjanganSosial和C:\WINDOWS\ShellNew\RakyatKelaparan.exe
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\ShellNoRoam\MUICache]
删除C:\WINDOWS\ShellNew\RakyatKelaparan.exe
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
和
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg]
删除:Bron-Spizaetus、Tok-Cirrhatus、Tok-Cirrhatus-969等相关项。
如果有的话,
删除[HKEY_CURRENT_USER\Software\Microsoft\Windows\CarrentVersion]
注意是CarrentVersion,第二个字母是a
删除[HKEY_CURRENT_USER\Software\Microsoft\Search Assistant]
6、搜索cmd-brontok.exe,得到下面类似的项:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot]
AlternateShell的值由cmd-brontok.exe改为cmd.exe
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot]
AlternateShell的值由cmd-brontok.exe改为cmd.exe
7、开始-搜索-文件或文件夹-分别搜索含有“Bron、tok、empty.pif、Setting.scr、KesenjanganSosial、RakyatKelaparan.exe、cmd-brontok.exe、NendangBro”字符的所有文件,然后删除名字含有“Bron”且含有“tok”的文件,删除empty.pif和[Users]'s Setting.scr等全部文件。
8、删除在C:\Documents and Settings\[Users]\Application Data\和
C:\Documents and Settings\[Users]\Local Settings\Application Data文件夹里的病毒程序,比如csrss.exe、inetinfo.exe、winlogon.exe、services.exe、smss.exe、lsass.exe、svchost.exe、Bron.tok-17-x.exe(x为数字)、GDIPFONTCACHEV1.DAT、fusioncache.dat以及带有“Bron tok”名字的文件。控制面版-计划任务-删除全部任务。
9、修改C:\Autoexec.bat,删除里面的字符:"pause",保存退出。
10、清理IE临时文件、用超级兔子或者优化大师等工具清理临时文件。
比如清空C:\Documents and Settings\[user]\Local Settings\Temp\等文件夹。