xeex.exe病毒出现在进程中时,通常是6位随机数字开头带“_xeex.exe”的名字,此例中,这类病毒进程与autorun.inf已经被清除了,同时临时文件夹中的大量随机数字为文件名的dll文件(如后所示)也被删除,但重启后,又会再次出现。根据SREng扫描的日志观察,发现原来电脑上安装的影子系统的服务被禁用(正常情况下影子的服务“Shadow System Service”应为“自动”启动状态),同时还有以下的问题需要修复:
1.删除以下文件:
c:\windows\system32\userinit.exe(被感染的系统文件,不可一删了事,应寻找同名正常的文件替换,建议用PE光盘启动后替换此文件,如无此文件,将无法登录系统)
c:\windows\tinlater.exe
c:\windows\system32\drivers\knlrun.sys
c:\docume~1\admini~1\locals~1\temp\110099543.dll(c:\docume~1\admini~1\locals~1\temp\完整路径:c:\documents and settings\administrator\local settings\temp\,因以下多为随机文件名,建议全部temp文件夹都清空)
c:\docume~1\admini~1\locals~1\temp\120088016.dll
c:\docume~1\admini~1\locals~1\temp\40114174.dll
c:\docume~1\admini~1\locals~1\temp\50096769.dll
c:\docume~1\admini~1\locals~1\temp\60107314.dll
c:\docume~1\admini~1\locals~1\temp\70090950.dll
c:\docume~1\admini~1\locals~1\temp\80085092.dll
c:\docume~1\admini~1\locals~1\temp\tmp.tmp
2.使用SREng修复下面各项:
启动项目 -- 服务 -- Win32服务应用程序之如下项禁用:
[ms-tl / Ms-tl_Srv] <C:\windows\tinlater.exe>
启动项目 -- 服务-- 驱动程序之如下项禁用(此项一般人认为其为流氓,但与本病毒无关,所以一起清理):
[knlrun / knlrun] <\??\C:\WINDOWS\system32\drivers\Knlrun.sys>
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/734.html
