中威金病毒后成功修复被感染的EXE文件 昨天在网上搜索软件下载时不小心中了大名鼎鼎的威金病毒,状态为系统加载了logo1_.exe, rundl132.exe 等程序,并且D盘50%的EXE都被感染,本身我装了江民杀毒软件,病毒库是11月12日的,但是对此病毒无任何办法,而且病毒一启动便关闭了江民的进程,网上下了很多专杀也查不出该病毒,后来用360safe查出除logo1_.exe外的其他病毒,并杀掉了。 接下来的大问题是如何解决D盘被感染的exe文件,EXE文件感染后图标丢失,为无图标或者dos图标,执行该exe文件会自动启动c:\winnt\里的病毒程序。先找了很多号称可以修复被威金感染exe病毒的工具,但是似乎都不行,估计是我中的威金版本比较靠后变种了,于是我只有一个个EXE删除,删除一个软件的EXE文件便在网上找相同的下载下来,大概到12点30的时候,我想起我一张光盘备份了所有的工具,于是把光盘拿出来,逐一拷贝,但是新下的手机工具和手机软件都没备份,还得自己下载或者从手机拷贝出来,那些软件一起有400多MB,晕了。 时间已经到凌晨1点了,因为手机软件都是手机专用的,无法在电脑上执行,我便单击一个试验了下,结果系统马上几乎卡死,进程中马上又出现了 logo1_.exe,居然连手机软件都感染了,我在进程里把logo1_.exe删除后,一个偶然的机会发现刚执行的手机软件的exe文件图标恢复正常了。 这个时候才发现,如果感染过的EXE执行后会恢复正常,即恢复为无病毒,无感染的EXE,但是带来个后果是会启动logo1_.exe,然后创建 uninstall目录,创建rundl132.exe,并启动该exe,经过仔细分析,后来用了如下方法,成功修复了所有被感染的EXE文件。 修复被感染EXE文件的方法。 1,运行里输入gpedit.msc 用户配置-管理模板-系统-不要运行指定的windows程序,把rundl132.exe logo1_.exe加进去,并启用。 (PS:该条是为了让系统尽量禁止执行这些exe文件。) 2,用ultraedit打开 rundl132.exe, logo1_.exe,用随机数字改变文件的头,破坏该文件,但文件长度不变。 (PS: 这条很重要,是为了让感染文件认为病毒还存在,如果病毒不存在,则感染文件会创建一个新的logo1_.exe,改变文件头的代码是为了病毒文件不能执行,不破坏文件长度是为了感染文件检测出logo1_.exe和原始长度一样,而不用新的logo1_.exe来覆盖) 3,把这2个EXE文件的属性改为只读和隐藏 (PS:希望病毒设计上的失误让感染文件无法释放新病毒文件来覆盖) 4,执行被感染的EXE文件,由于文件被感染会执行c盘的rundl132.exe, logo1_.exe文件,但是由于该文件被修改,所以会弹出非32位程序无法执行的对话框(绝对安全)。执行中感染文件可能会在注册表中添加启动项目,指向rundl132.exe, logo1_.exe,由于这2个文件已经被ultraedit修改,所以绝对安全。此后被感染文件会自动脱壳,成为干净的文件(经过反复对比,文件16 进制对比)。 该方法对付我中的威金应该没问题,对其他的变种则不好说,可能新的变种会更加完善,大家如果碰到可以试验下。
温馨提示:内容为网友见解,仅供参考
无其他回答
相似回答
