那天,有个同事拿个U盘过来跟我说打不开,能不能帮她看看,自恃电脑里有Autorun病毒防御者一直开着用来查杀U盘木马,没出过差错,就把她的U盘插入静候它的佳音,一会儿它跳出:
发现病毒注册表项:\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\OnDesktop,值:rundll32.exe "browseiu.dll",explorer(Trojan-PWS.Win32.Agent.BU),处理结果:清除成功
发现病毒文件:I:\.vbs(Virus.VBS.AutoRun.ai),处理结果:清除成功
发现病毒残留目录:I:\RECYCLER,处理结果:清除成功
对后面两个“发现”是司空见惯的,第一个“发现”倒是第一次看到,有些疑惑,不过看到已经清除成功,也没多大在意,看看U盘打得开了就再免疫了一下还给她,打发走人,顺便把自己的电脑也查一下,呵~一查问题就来了,只见它跳出:
发现病毒注册表项:\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\OnDesktop,值:rundll32.exe "browseiu.dll",explorer(Trojan-PWS.Win32.Agent.BU),处理结果:清除成功
发现病毒篡改注册表项:HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit,值:c:\windows\system32\userinit.exe,rundll32.exe browseiu.dll explorer,处理结果:修复成功
还没等我在一惊中回过神来,电脑已经快速关掉我桌面上所有正在操作的东西然后关机又重启了,进入桌面打开病毒防御者先用扫描功能看了一下,晕~还在哇(呵~看来好事做不得,一做麻烦惹上身)!我要直接查杀这木马的话电脑肯定还会重启,那还是让我重启直接进入安全模式去杀它,开始——关机——重新启动,按着F8不放,选择安全模式,然后在一片黑暗中等待着……快要看到黎明了,咦~怎么又重启了啦,好哇~小样,还不让我进安全模式杀你,够牛的,等着,赶紧在网上搜索下“Trojan-PWS.Win32.Agent.BU”跟“browseiu.dll”,查了很久,网上没有详细的资料,看来必须自己手动清除了。
先在电脑上查到“browseiu.dll”是放在c:\windows\system32下打开c:\windows\system32把browseiu.dll删除(system32里面有browseui.dll程序,千万不能删错,否则……呵呵~麻烦更大啦!),然后运行regedit,打开注册表,进入HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run里的文件OnDesktop删除,或者打开360安全卫士——高级——启动项状态里删除OnDesktop,HKLM_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon里打开Userinit,把数值数据c:\windows\system32\userinit.exe,后面的“rundll32.exe,rundll32.exe browseiu.dll explorer”删除,Oh My god!电脑又重启了,手动也不行?嗯,让我再仔细想想,这木马不让我手动删除,又不让我进安全模式,对了在安全模式下肯定能删除它,关键是怎么进入安全模式,打开事件查看器,有如下描述:
事件类型: 错误
事件来源: DCOM
事件种类: 无
事件 ID: 10005
日期: 2009-6-10
事件: 15:58:41
用户: NT AUTHORITY\SYSTEM
计算机: XXXXXXXXXXXXX
描述:
DCOM 遇到错误“不能以安全模式开始这项服务 ”,试图以参数“”启动服务 EventSystem 以运行服务器:
{1BE1F766-5536-11D1-B726-00C04FB926AF}
根据网上的有关资料解决这个问题:打开程序——控制面板——管理工具——组件服务——计算机——我的电脑——DOCM配置,找到{1BE1F766-5536-11D1-B726-00C04FB926AF},右点其属性选“安全”选项卡,在“启动与激活权限”栏目中点选“自定义”单选按钮。接着点击“编辑”按钮,在弹出的“启动权限”对话框中,查看下面四个的权限(如果没有这四个就点击“添加”按钮)
1.Administrators
2.Everyone
3.INTERACTIVE
4.SYSTEM
发现在Everyone中少个本地启动,补勾上,确定,重启,顺利进入安全模式,运行Autorun病毒防御者进行查杀,查杀完毕没有自动关机, 看来一切顺利,重启打开注册表看了那两个地方,恢复正常,OK!
本文转自 彐火王木木 51CTO博客,原文链接:http://blog.51cto.com/linger/181818