wukill(gy)病毒解决办法

早晨一上班,打开电脑,习惯性的点击foxmail的快捷方式收取邮件,没有出现熟悉的界面,反倒直接打开了foxmail程序所在的目录。仔细一看,发现中毒了,就是那个比较恶心的wukill,把工具栏里面二十来个快捷方式都测试了一遍,大概一半多不好用了,没办法,上网查了一下资料,然后经过大半天折腾,终于把病毒请走了。现在把清理过程记录描述如下。

wukill病毒的特征:

1:监控内存及操作。开机即驻留内存中并借助svchost.exe进程监控电脑使用者的操作。并不时尝试激活outlook进行邮件的发送。

2:自我复制。将病毒文件自身复制到使用者使用频繁的目录中,并进行伪装。

wukill病毒的中毒表象:

1:在启动菜单里面自动加入"startup.bat"命令,删除后过很短时间马上又能自动创建

2:在windows的每个分区的根目录下,自动创建desktop.ini和folder.htt以及Comand.bat三个隐藏文件。

3:自动修改文件、文件夹查看设定,不显式隐藏的文件和文件夹,手动修改成显式隐藏的文件和文件夹后,又会自动变回来。

4:自动在用户常进入的文件夹下建立和文件夹名称一致的exe文件作为病毒载体,比如foxmail安装在e:/tools/foxmail目录下,那么病毒会自动在这个目录下建立foxmail.exe的文件,大小大概在28k左右,将鼠标移上去,会出现”公司:gy“的字样,如果目录中存在有foxmail.exe,病毒会删除它并且再建立新的foxmail.exe程序,这一点最恶心!!这样来看,如果电脑上建立很多快捷方式,病毒就会到哪些快捷方式所对应的程序所在目录下建立这些exe文件,这就是很多快捷方式无效的原因。病毒建立的*.exe文件都以文件夹的图标显式,具有很大的迷惑性,稍不留神双击它,它又会自我复制。。。

5:随时调用outlook试图发送邮件。发动的内容可想而知。

杀毒的过程如下:

1:开机进入安全模式

2:查看任务管理器,杀掉一个"SVCHOST ...EXE"的进程,注意全是大写。

3:删除启动中的"startup.bat"命令。略微等待几分钟,再次查看启动中,观察"startup.bat"是否又被建立了,如果没有,说明病毒建立的监控进程被正确杀掉。

4:搜索电脑所有分区中的*.exe文件,这个过程会慢一点。然后删掉列表中所有的以文件夹图标显式的,大概28k大小的,鼠标浮上去能出现gy字样的exe程序。

5:进入查看文件夹选项,设定为显式所有的文件,然后进入每个分区,删掉分区根目录下的Comand.*,folder.htt和desktop.ini文件。

6:用木马清楚软件,比如ewido等搜索所有分区,清查一遍

7:用杀毒软件,比如kapasky等,再次查一遍。

8:重启电脑,进入正常模式,就可以使用了。

据说高版本的瑞星可以查杀,但不知效果如何,本人装的是kapasky,竟然没查出来,可见这是个土病毒,呵呵。

你可能感兴趣的:(问题与交流)