查看完整版本: 怎样去除wuauclt.exe病毒的!

坏东东 2008-8-20 17:03

怎样去除wuauclt.exe病毒的!

昨日晚上在网上闲逛,看了看论坛。感觉没有意思就找了一个电影网站看电影!下载了一个p2p电影观看软件!
有ie打开电影网站,就见IE突然变的很慢而且还没有打开,我也就没有在意。关闭后从新打开还是一样打不开,我就试着
打开别的网站,都打不开了!噢。。。。第一反应中招了!
  
   于是打开卡巴升级病毒库,查毒,结果一圈下来什么也没有。这让我小郁闷了一下!难道这是什么木马卡巴查不到?俗话
说“老虎也有打盹的时候”不是,在拿出AVG查。没想到同样的什么都没有!有了警觉了,难道我就这么“幸运”中了!当时
的感觉应该去买彩票,没准能中呢。得。。。闲话少说还是自己动手吧!

   嗯。。先从哪里下手呢,先拿出进程察看器"Process Explorer"看看。细一看,噢。。。有一个wuauclt.exe是在windows目录
下面的!(注:wuauclt.exe是Windows自动升级管理程序,路径应该是windows\system32.   我用的是xp2)应该就是它了。先干
掉它,打开opera在网上找找。一看有此病毒看了解决的方法!
            
wuauclt.exe病毒的分析报告

连接网络时,运行这个wuauclt.exe,它通过80端口访问61.128.196.671创建下列文件:
C:\windows\wuauclt.exe
C:\windows\bbyb.exe
C:\windows\bbybs.exe
C:\windows\bbyb.dll
C:\windows\ies.dll
C:\windows\noruns.reg(将其中内容导入注册表后,此文件被自动删除。)
在系统分区以外的所有分区根目录以及U盘根目录下创建sxs.exe和autorun.inf。
其中C:\windows\bbyb.dll动态插入应用程序进程。
C:\windows\wuauclt.exe删除注册表中瑞星、KV、卡巴斯基以及雅虎助手的启动项和服务项。有意思的是,它还删除一个流行木马NTdhcp.exe的启动项。
添加的注册表启动项为:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunMicrosoft

wuauclt.exe病毒的查杀清理解决方法:

结束C:\windows\wuauclt.exe进程。
该进程结束后,U盘中的sxs.exe和autorun.inf可直接删除。删除后,将U盘拔出。
然后,删除下列文件:
C:\windows\wuauclt.exe
C:\windows\bbyb.exe
C:\windows\bbybs.exe
C:\windows\bbyb.dll
C:\windows\ies.dll
删除其启动项。


   一看我想起来了,在第二次打开IE的时候确实它要打开bbyb这个网站,按着上面的方法实施。但在我的windows下面只有一个wuauclt.exe没有其它的exe文件。我也没有接u盘,打开文件夹删除!当时在想怎么卡巴和AGV怎么没查出来呢!重启。问题来了
。过了一会这个EXE又在进程中出现了!靠。。。刚刚自己还在偷笑呢,这么容易就搞定了!
                        看来这么长时间没有中招自己的有些松懈疏忽了,打起精神找。打开注册表找。。。无果。在打开MSCONFIG仔细查找,嘿嘿嘿。
有了在SYSTEM.INI在有一项SYS下面有:msconfig path=d:\windows\wuauclt.exe并在“服务”中找到了在进程查看器中看到的wuauclt.exe的服务。没说的干掉在删除!重启,TMD还在不成!它用出现了,整理一下思路看来有问题,肯定系统中还隐藏着它的
启动文件。要不怎么屡次出现呢。在看进程(我就不信了),果然有一个daemon.exe在运行着(注:我按装了虚拟驱动DAEMON TOOLS所以大意了,实事证明教训啊)看它的路径,有问题:D:\WINDOWS\Driver.\daemon.exe 打开看看它.问题又来了:它提示"系统
错误的引用了一个地址,它可能是网络上一个映射盘,请从新检查网络连接"看了一下它的属性什么都没有,可进程里显示daemon.exe明明就在这个文件夹里.TMD什么啊问题肯定就出在这里,结束进程删除文件夹,它显示windows找不到指定文件夹!这是怎么回事,给它改个名;
不行,改属性:不行,晕.......明明知道问题在它就是不能删除郁闷!!!!!!!打开GOOGLE找找,嘿嘿....有了,看到一个类似贴子有人回说:可以用命令
试一试啊,对啊!这个我怎么忘了呢!还好DOS命令没有都还给书本!!
                  在DOS下进入这个文件夹,"系统找不到路径"  这是怎么回事(注意:在Driver后面还有一个".")试了几试还是不可以!看看的进程中的路径没有错啊D:\WINDOWS\Driver.\daemon.exe,这时我注意到了的它的"命令行路径"它是:"D:\WINDOWS\Driver..\daemon.exe"(Driver这里又多了一个".")原来如此,想想把daemon.exe弄出来看看.运行:D:\WINDOWS\COPY DRIVER..\DAEMON.EXE   F: 执行了.哈哈哈.
接着删除这个文件夹运行:D:\WINDOWS\RD DRIVER..\  没有成功.   想想 在来加两个参数:运行:D:\WINDOWS\rd driver..\  /s/q  程序执行!
搞定了,长出了一口气.重启..........没问题!

采小石 2008-8-20 17:32

支持
页: [1]
查看完整版本: 怎样去除wuauclt.exe病毒的!