【原创】·一次中木马后的自救过程分享

salaam

一、症状
进入系统后，突然发现卡巴没有运行，手动双击也不能打开，再仔细检查，发现系统时间被修改到19xx年。

二、检查
打开进程管理器，发现可疑进程“oduxyym.exe”和“veckdld.exe”，并且无法关闭。
C盘、D盘均无法查看系统隐藏文件，并且在“文件夹选项”→“查看”里也无法打开“显示所有文件和文件夹”。
经上网搜索，确认中了木马病毒。

三、杀马
1、在“任务管理器”→“进程”里，鼠标右键点击“”“oduxyym.exe”或“veckdld.exe”任意一个，选择“结束进程树”，重复这个动作，关闭另一个。速度要尽量快些，因为这两个进程互为备份，速度慢了，另一个进程就会自动再生成被你杀掉的那个进程。
2、打开注册表找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL在右边窗口中将CheckedValue删掉，再新建一个CheckedValue的DWORD值，将其值设为1。
3、关闭注册表，在“文件夹选项”→“查看”里，打开“显示所有文件和文件夹”。
4、进入windows目录下的system32子目录，删除oduxyym.exe和veckdld.exe这两个文件。在C盘、D盘根目录中删除ymfqplr.exe和autorun.inf两个文件。
5、在注册表HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run以及HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中删除相应键值。
6、重新启动系统。

四、恢复安全模式

重新启动系统后，发现“安全模式”无法进入，系统蓝屏提示Stop：0x0000007B错误。
请下载我提供的这个文件，将后缀名改为“reg”（这里不支持reg文件上传），双击，修复注册表相应选项。重新启动系统，安全模式恢复正常。

salaam

补充：

该木马还会造成某些应用软件出错，需要重新安装。

w04562

好，我昨天也是中了这样的，情况一个，病毒可能是另一个变种，清了半天没搞好。
只好恢复GHO了，还好是今年３月份做的，没有多少影响工作。

salaam

修复完成后
最好还是升级个病毒库 再彻底查一遍硬盘

syoyo

1.ghost恢复系统
2.进入系统后不要点击任何分区
3.删除其他盘下autorun.inf文件和autorun.inf中调用的程序
4.ok