GoOdLeiSuRe 的博客网

版权声明：转载时请以超链接形式标明文章原始出处和作者信息及本声明
http://zhmwf.yourblog.org/logs/601352.html

前天发现电脑启动后出现几种症状： （1）网络启动很慢，McAfee（杀毒软件）进程shstat.exe消耗大量CPU时间；不得不中止此进程； （2）会弹出找不到文件的对话框，不管“中止”“取消”“继续”后仍会出现； （3）任务栏管理器中出现“soundmix.exe”进程，结束进程后很快又出现；但此时（2）症状消失。 莫非这是病毒？网上一搜，原来是U盘病毒。我的McAfee（麦咖啡）怎么检测不到？对此有些失望了。 网上描述还有如下症状： （1）无法显示隐藏文件与目录； （2）“.exe”文件关联会被修改为：soundmix "%1" %*； （3）…… 分析soundmix.exe文件： （1）用16进制工具（如winhex）打开soundmix.exe，随便看看； （2）存在病毒相关文件： \soundmix.exe \dllcache\zipexr.dll （3）修改了注册表启动项： Software\Microsoft\Windows\CurrentVersion\Run soundmix （4）修改了注册表隐藏目录及文件项： SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue （5）修改了注册表“exefile”关联项： exefile\shell\open\command soundmix "%1" %* 狠招啊，只要运行exe程序就会运行病毒文件，所以进入安全模式也很难避免感染。 “cmd.exe”也不能用哦，就用“command.com”。 （6）修改了hosts文件： \drivers\etc\hosts \drivers\etc\hosts.tmp 增加了如下条目： 61.129.115.198 www.xldd.com 61.129.115.198 www.ojiang.com 61.129.115.198 www.shuixian.net 61.129.115.198 www.xlarea.com （7）感染U盘： 设置U盘自启动文件：autorun.inf [autorun] open= shell\open=打开(&O) shell\open\Command=RECYCLER\autorun.exe -OpenCurDir shell\open\Default=1 shell\explore=资源管理器(&X) shell\explore\Command=RECYCLER\autorun.exe -ExploreCurDir 伪装的很好吧？用右链“打开”也会中招了。 病毒还会在U盘下生成文件夹“RECYCLER”，伪装为回收站目录“RECYCLED”，同时在其目录下生成：autorun.exe 其实zipexr.dll和autorun.exe二个病毒文件都是soundmix.exe的复制文件。 分析了之后，就更容易解决了。 于是用启动盘启动电脑： （1）删除system32\soundmix.exe； （2）删除system32\dllcache\zipexr.dll； （3）修正注册表“.exe”关联项“exefile\shell\open\command”为："%1" %*； （4）删除注册表启动项“Software\Microsoft\Windows\CurrentVersion\Run”下的“soundmix”； （5）修正注册表文件隐藏项“SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL”，将“CheckedValue”值改为“1”； （6）修正hosts文件（system32\drivers\etc\hosts），删除其中的“61.129.115.198”条目。 重启电脑，一切正常！ 如果使用F8进入安全模式，得小心行事哦。 开始->运行，输入“command”并运行，修正关联项： ftype exefile="%1" %* 然后就可以删除病毒文件并修正其他内容。 清除U盘上的sounmix病毒，在命令行状态： U： 注：U为U盘盘符 attrib -s -h -r autorun.inf del autorun.inf attrib -s -h -r recycler rd /s /q recycler exit McAfee运行占用CPU运行时间的情形与病毒无关，是其它原因引起的。