手动解bryato.exe毒过程……

  朋友的服务器中毒.隧远程上去查看.大部分exe运行"error",包括注册表.还好,任务管理器可以运行.进程中发现"bryato.exe","severe.exe",隧判断已经中毒.
  复制ProcessExplorer(传说中的微软前顾问写的超强任务管理器)到远程机器,运行,查看以上两个可疑进程的路径,均在"C:\windows\system32"下,由于该病毒有多个exe,且并非"进程树"可以全部结束,一次只结束其中一个进程无效,结束后,马上又有其他进程重新调用此进程重新运行.马上打开组策略"gpedit.msc",将以上两个进程的exe文件名添加到禁止运行的栏目中,确定,然后再分别结束他们的进程,此时他们就不会再循环运行了.然后打开进程所在目录,将其删除,然后建立同名文件夹,去掉所有安全标签中所有权限.这样防止同名的病毒再回来.在运行栏打开注册表,提示运行错误,然后此时processexplorer中显示了一个新的exe进程:fubcwj.exe,就是这个exe导致大部分程序无法运行的.于是马上搜索系统中的bryato.exe、severe.exe、fubcwj.exe、bryato.dll、conime.exe(需要排除掉系统自带的),全部将其删除,然后放上空文件夹,去光权限.这时候,发现再次在运行栏运行注册表,会提示无法打开exe的错误.看来想就这样打开系统的注册表是不可能了.覆盖了好的regedit.exe到windows目录也无效.于是用第三方的注册表工具来打开注册表,我首选了"Registry Workshop",此注册表工具不仅支持打开PC端的注册表,还支持打开windows手机(如SP、PPC)上的注册表哦~.用工具打开注册表,然后搜索所有病毒文件的关键字,Registry Workshop会自动将搜索到的所有条目一起显示出来,我们只需要将所有搜索结果选中,批量删除就可以了.至此,系统盘的病毒已经清除.
  然后是D盘.双击会运行"自动运行",即点右键会有的"Autorun".中了很多病毒之后,病毒体都靠用户的这种"无意识习惯"动作来触发运行,解决这种病毒的常规方法就是:先cmd取消autorun.inf,以及它调用的exe文件的隐藏和只读属性,然后将他们删除,建立同名空文件夹,去光权限.然后手动从任务管理器中结束"explorer.exe"进程,然后重新手动加载(任务管理器,左上角菜单,运行)"explorer.exe"进程,然后就取消了D盘的自动运行,右键菜单中的"Autorun"也没有了.
  最后,很多病毒为了达到将自己隐藏不让用户发现的目的,都会通过修改注册表来让用户无法通过文件夹选项显示出隐藏属性的文件.解决方法也很简单,将注册表改回来就好了.
  下面提供几个我上面提到的软件,供大家下载:
1.ProcessExplorer10.2汉化版:



2.Registry Workshop v2.61:



3.还原文件夹选项显示隐藏文件注册表:




[本日志由 黑咖啡 于 2009-03-17 03:08 AM 编辑]
上一篇: 从易语言4.05破解版想到的
下一篇: [新软]皓视影音客户积分系统 v1.1
文章来自: 本站原创
引用通告: 查看所有引用 | 我要引用此文章
Tags: 解毒 bryato.exe bryato.dll conime.exe severe.exe fubcwj.exe OSO.exe
相关日志:
评论: 15 | 引用: 0 | 查看次数: -
黑咖啡
回复回复黑咖啡[2007-04-10 23:39:53 | | | del | 取消审核]
[ 正在加载评论信息,请稍候... ]
问题是
回复回复问题是[2007-04-10 11:25:41 | | | del | 取消审核]
[ 正在加载评论信息,请稍候... ]
黑咖啡
回复回复黑咖啡[2007-04-04 01:23:06 | | | del | 取消审核]
[ 正在加载评论信息,请稍候... ]
黑咖啡
回复回复黑咖啡[2007-04-04 01:22:10 | | | del | 取消审核]
[ 正在加载评论信息,请稍候... ]
黑咖啡
回复回复黑咖啡[2007-04-04 01:19:57 | | | del | 取消审核]
[ 正在加载评论信息,请稍候... ]
黑咖啡
回复回复黑咖啡[2007-04-04 01:19:05 | | | del | 取消审核]
[ 正在加载评论信息,请稍候... ]
woodwood
回复回复woodwood[2007-04-03 09:21:38 | | | del | 取消审核]
[ 正在加载评论信息,请稍候... ]
gg
回复回复gg[2007-04-03 05:33:26 | | | del | 取消审核]
[ 正在加载评论信息,请稍候... ]
sunandmoon
回复回复sunandmoon[2007-04-02 17:00:01 | | | del | 取消审核]
[ 正在加载评论信息,请稍候... ]
路人甲
回复回复路人甲[2007-04-02 15:04:13 | | | del | 取消审核]
[ 正在加载评论信息,请稍候... ]
发表评论
昵 称:
密 码: 游客发言不需要密码.
邮 箱: 支持Gravatar头像.
网 址: 输入网址便于回访.
内 容:
验证码:
选 项:
虽然发表评论不用注册,但是为了保护您的发言权,建议您注册帐号.