一开机就显示某某.exe遇到问题需要关闭.

8位字母数字.EXE 病毒

CISRT2006058IMKILL变种之一 随机8位字母数字.exe 解决方案

档案编号：CISRT2006058

病毒名称：Trojan-Downloader.Win32.Adload.ho（Kaspersky）

病毒别名：

病毒大小：15,384 字节

加壳方式：PE_Patch UPack

样本MD5：4134e4700f51e6ef39667729a514b74a

样本SHA1：8ae7e75950db8f35ba9418cd5e17f3cca9c416d7

发现时间：2006.10

更新时间：2006.10

关联病毒：

传播方式：通过恶意网页传播、其它木马下载

技术分析

==========

病毒文件里有很多代码和以前的IMKILL类似，怀疑是IMKILL的变种，不过破坏性要比以前小很多。

病毒主程序文件名由随机的8位字母和数字组成，主程序运行后复制自己到系统目录，并创建一个副本，文件名为：

%system%\{8位字母数字}.EXE

%system%\{8位字母数字}T.EXE

释放出一个同名DLL文件%system%\{8位字母数字}.DLL注入Explorer.exe和Winlogon.exe进程。

另生成delme.bat删除原文件：

[Copy to clipboard]

CODE:

@echo off

:selfkill

attrib -a -r -s -h "原文件"

del "原文件"

if exist "原文件" goto selfkill

del %0

创建服务随系统启动：

QUOTE:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{8位字母数字}]

显示名：{8位字母数字}

描述：为系统提供加速启动功能。

可执行文件的路径：%system%\{8位字母数字}.EXE -service

清除步骤

==========

1. 删除病毒EXE文件：

%system%\{8位字母数字}.EXE

%system%\{8位字母数字}T.EXE

2. 移动病毒DLL文件：

%system%\{8位字母数字}.DLL

将%system%\{8位字母数字}.DLL移动到其它目录

3. 重新启动计算机

4. 删除移动到其它目录下的%system%\{8位字母数字}.DLL

5. 删除病毒创建的服务项：

[Copy to clipboard]

CODE:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{8位字母数字}]

注：这里以{8位字母数字}来表示病毒文件名，以上出现的{8位字母数字}代指病毒主程序文件名中的8位随机字母数字。比如病毒文件名是E5F4524A.EXE，那么服务就是对应的[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\E5F4524A]。

也可以试试瑞星的橙色八月专杀工具