你那个是sola宅男病毒。处理不好是很危险的。
这个病毒自带专杀工具。
处理方法:
1. 每个盘符下有隐形的SOLA文件夹,当然不一定像我是空的(因为我的卡巴斯基起了部分作用)。
2. system32目录下有sleep.exe和rar.exe。
3. Windows\Tasks目录下有Tasks.job文件。
4. Windows\Fonts目录下除了茫茫多的字体文件外还有HIDESE~1文件夹。
5. 许多.doc .txt .jpg文件都变成了.exe文件,但是文件图标没有发生变化,当你打开文件时,会在原目录下生成原文件、Function.dll和SOLA_2.0_22737206518937.bat三个隐藏文件。关闭文件之后,三个隐藏文件消失。
注意:对于Task.job文件和HIDESE~1文件夹,一定要在CMD模式下用dir /a才能看到,在图形模式下,即使你在文件夹选项下面选择了显示所有文件和显示隐藏文件也是看不到的,这一点我也不知道为什么。
在我看来(我一点也不牛),症状5中的SOLA_2.0_22737206518937.bat阐述了这个病毒运行原理,我就是依靠 SOLA_2.0_22737206518937.bat找到的清除方法。说起来也要汗一把,我被逼无奈到网上找到批处理的教程,看了一下午,总算是勉强可以把SOLA_2.0_22737206518937.bat读明白咯。这里有个比较不错的批处理教程。
病毒在电脑中运行所进行的操作大概是:不停的检查各磁盘分区盘符下Autorun.inf文件中有无SOLA痕迹,如果没有,则从病毒目录下复制 Autorun.inf和SOLA文件夹到各盘符下。然后不停地用病毒带的Scan.bat扫描各磁盘分区。当中病毒后开关机次数达到50次后,就在%ALLUSERSPROFILE%\「开始」菜单\程序\启动下创建TENBATSU.VBS文件,下次开机就自动运行此文件,实现修改系统根目录下的NTLDR文件,于是下次开机便进不了系统。如果恰巧您把此文件删除了,病毒依然会修改系统根目录下的NTLDR文件,同样进不了系统。
据我推测,病毒可能是通过以下一个或者几个途径实现启动的:1.通过%ALLUSERSPROFILE%\「开始」菜单\程序\启动 2.通过染毒的.doc .txt .jpg文件启动 3.通过各盘符下面的Autorun.inf实现启动 4.通过Windows\Tasks\Tasks.job启动 5.其他的我没发现的途径,因为我搞的也不是太明白。
清除方法:
1. 我推测可以使用的方法。如果不幸染毒,可以在自己电脑中找到SOLA_2.0_22737206518937.bat文件(依症状5描述),用记事本打开查看,有这么几行:
if "%1"=="-Install" goto Install
if "%1"=="-Run" goto Run
if "%1"=="-Tenbatsu" goto Tenbatsu
if "%1"=="-Kill" goto Kill
if "%1"=="-Killself" goto Killself
我研究过了,-killself可以实现自己清除病毒的功能,具体就是在命令行下依次输入
cd C:\Windows\Fonts\HIDESE~1
sola.bat -Killself
两步就可以清除病毒。注:此种方法我没有试验过,推测是这样的,因为在我读懂SOLA_2.0_22737206518937.bat之前,我已经del /F /S /Q HIDESE~1,把该目录下的文件全删除了。
———————————————————————————————————————————————
重要更新:功夫不负有心人,我电脑上恰好剩余一个染毒.txt文件(实际是.exe文件),我打开后又像先前那样生成3个文件,然后卡巴斯基连续五六次弹出检测到病毒的警告,我一路点击删除后,用命令行到Windows\Fonts下查看,再次产生了HIDESE~1文件夹,进入该文件夹,居然有 SOLA.bat文件,找它很久了,终于可以实验一下了。
在我输入sola.bat -Killself后,命令行显示如下:
C:\WINDOWS\Fonts\HIDESE~1>sola.bat -Killself
系统找不到指定的文件。
系统找不到指定的文件。
系统找不到指定的文件。
已复制 1 个文件。
RAR 3.70 版权 (C) 1993-2007 Alexander Roshal 22 五月 2007
共享版本 输入 RAR -? 获得帮助
正在从 C:\WINDOWS\Fonts\HIDESE~1\solasetup\SolaKiller.rar 中解压
正在创建 ToSystem32 完成
正在解压 ToSystem32\CMDCheck.bat 完成
正在解压 ToSystem32\SLAData.dll 完成
正在解压 ToSystem32\SOLAADDRESS.TXT 完成
正在解压 ToSystem32\SolaScan.bat 完成
正在解压 Install.bat 完成
正在创建 ToProgram 完成
正在解压 ToProgram\GUICheck.bat 完成
正在解压 ToProgram\SolaKiller.bat 完成
全部成功
找不到批处理文件。
同时自动用记事本打开KillVirus.txt文件,内容为:
各位OTAKU:
您好。首先,让我对此病毒给您带来的
不便向您道歉。
SOLA已经从您的计算机中清除。但由于
WINLOGON被锁定,计算机暂时无法关机、重
启,也无法打开任务管理器。但这些问题在
冷重启后即可解决。
您的计算机已经有了SOLA的标记,因此
不会重复感染。
在硬盘中还留有被SOLA病毒感染的文件
,尽管不会重复感染,但建议您清除它们。
系统中已经安装了SOLA的专杀程序,它可以
帮助您扫描并清除带毒文件。
祝您好运。
SOLA的制造者
KAKENHI
在"开始"->"所有程序"中新添加一个"SOLA病毒专杀"文件夹,该文件夹的下一层为SolaKiller.bat文件。正如KillVirus.txt文件所说,此 SolaKiller.bat文件即为SOLA的专杀程序。至此, SOLA已经从我的计算机中清除。
在SOLA_2.0_22737206518937.bat中相应的-KillSelf内容如下:
:KillSelf
:StartExplorer
ren %systemroot%\explorer.xxx explorer.exe
start %systemroot%\explorer.exe
:BackNTLDR
attrib %systemdrive%\NTLDR -s -h -r
copy /Y %sola%\NTLDR %systemdrive%\NTLDR
attrib %systemdrive%\NTLDR +s +h +r
:RenTmg
ren %systemroot%\system32\taskmgr.xxx taskmgr.exe
:KillVirus
copy %setup%\KillVirus.txt %sola%\KillVirus.txt
C:
cd\
md ~Install
cd ~Install
rar x -hpkakenhi200601 %setup%\SolaKiller.rar
mshta "javascript:new ActiveXObject('WScript.Shell').Run('C:\\~Install\\Install.bat %%1',0);window.close()"
rd /s /q %setup%
attrib %systemroot%\Tasks\Tasks.job -s -h -r
del %systemroot%\Tasks\Tasks.job
cd "%ALLUSERSPROFILE%\「开始」菜单\程序\启动"
if exist sola.vbs del sola.vbs
if exist tenbatsu.vbs del tenbatsu.vbs
start %systemroot%\system32\notepad.exe %sola%\KillVirus.txt
del %sola%\sola.bat
Exit
细细研究会发现,上述代码的执行流程正好与我输入sola.bat -Killself后的命令行显示结果相吻合。这正好说明,采用清除方法1的可行性和正确性。
当然现在拜KAKENHI同学所赐,我们有了SolaKiller.bat这个SOLA的专杀程序^_^。它的下载地址在:
http://tele.126disk.com/down.aspx?down=ok&filepath=zhaosongzi%2fSOLA%b2%a1%b6%be%2fSolaKiller.bat
———————————————————————————————————————————————
2. 我使用的方法。
进入安全模式,在命令行下依次输入:
cd C:\Windows\Fonts\
dir /AD 注意:在此命令的输出下会显示一个HIDESELF..的文件夹,而不是HIDESE~1,但在下面一步输入rd /S /Q HIDESELF..会提示你找不到文件夹,在这个地方,病毒搞的有点高明。
rd /S /Q HIDESE~1
cd C:\Windows\Tasks
attrib -s -h -r Tasks.job
del Tasks.job
cd %ALLUSERSPROFILE%\「开始」菜单\程序\启动
dir /a
attrib -s -h -r *.*
del *.*
如果%systemroot%\explorer.xxx,%systemroot%\system32\taskmgr.xxx存在,则分别
ren %systemroot%\explorer.xxx explorer.exe
ren %systemroot%\system32\taskmgr.xxx taskmgr.exe
能够进入安全模式,说明NTLDR还没有被修改
至此系统的病毒体已经清理完毕,然后就是删除各盘符根目录下的SOLA文件夹,以及Autorun.inf。如果磁盘先前有Autorun.inf的免疫文件夹,就只需删除SOLA文件夹即可。另外就是电脑硬盘里还存在已被感染的.txt,.doc,.jpg文件,如果不对这类文件中进行清理,在下次你双击此类染毒文件时,又会再次中毒。清理这类染毒文件的工具在这里。
下面是我使用del /F /S /Q HIDESE~1删除的病毒文件列表,你看看,病毒还蛮庞大的哩。
C:\WINDOWS\Fonts>del /F /S /Q HIDESE~1
删除文件 - C:\WINDOWS\Fonts\HIDESE~1\Drvifm1.txt
删除文件 - C:\WINDOWS\Fonts\HIDESE~1\File.txt
删除文件 - C:\WINDOWS\Fonts\HIDESE~1\Regedit.reg
删除文件 - C:\WINDOWS\Fonts\HIDESE~1\RunTime.txt
删除文件 - C:\WINDOWS\Fonts\HIDESE~1\sola.bat
删除文件 - C:\WINDOWS\Fonts\HIDESE~1\sola.sign
删除文件 - C:\WINDOWS\Fonts\HIDESE~1\svchost.exe
删除文件 - C:\WINDOWS\Fonts\HIDESE~1\zs.txt
删除文件 - C:\WINDOWS\Fonts\HIDESE~1\solasetup\EJPack.txt
删除文件 - C:\WINDOWS\Fonts\HIDESE~1\solasetup\KillVirus.TXT
删除文件 - C:\WINDOWS\Fonts\HIDESE~1\solasetup\Rar.exe
删除文件 - C:\WINDOWS\Fonts\HIDESE~1\solasetup\sleep.exe
删除文件 - C:\WINDOWS\Fonts\HIDESE~1\solasetup\SolaKiller.rar
删除文件 - C:\WINDOWS\Fonts\HIDESE~1\solasetup\Tasks.xxx
删除文件 - C:\WINDOWS\Fonts\HIDESE~1\solasetup\TDPack.txt
郑重声明:我使用的方法只是根据我电脑中毒的状况使用的方法,不保证也适合您的电脑,请依照具体情况区别对待。比如您电脑的各盘符下有solachk1文件,也同样需要删去,而我的则没有。
DOC文件变EXE,此病毒已经可以处理。原DOC文件设置为隐藏属性被隐藏,exe文件是病毒产生的,楼主可以进行以下操作:
1、安装带监控的杀毒软件,升级后全盘杀毒。
2、下载“瑞星安全助手”安装(下载地址:http://pc.rising.com.cn/)。安装成功后打开瑞星安全助手,进行立即体检一键修复操作,修复系统异常项。
3、把文件夹选项设置成:勾选“显示所有文件和文件夹”,并把“隐藏受保护的操作系统文件”之前的小勾去掉,再看看原文件是否可以显示。
4、如果还无法显示,可以到网站下载一些小工具来显示被病毒隐藏的文件。
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ:24596024