1、在C:\Program Files\Common Files\Microsoft Shared\MSInfo\下面释放一个同样由8个数字和字母组成的组合的文件名的dll 和一个同名的dat 文件,本人电脑为CBC46415.DLL和CBC46415.DAT。该病毒在系统启动以后抢先进占内存,终止所有杀毒软件进程,改写注册表启动项,把系统所安装的杀毒软件启动项清除。
2、通过网络下载病毒文件dl1.exe到用户目录\local settings\temp下,并在注册表里添加启动项。
3、释放CBC46415.EXE和autorun.inf文件到系统各分区的根目录下,在autorun.inf文件中将open\shell和资源管理器\shell绑定为cbc46415.exe。
4、将以上文件都设置为系统和隐含属性,并修改注册表,使用户无法通过文件夹选项来显示隐含文件。
5、修改注册表破坏安全模式,使用户无法进入安全模式来清除文件。
6、监控系统注册表和内存进程,发现注册表项被改写就立即复原。并终止内存中所有杀毒软件进程。
7、监视浏览器窗口,发现有杀毒、木马有关的网页就立即关闭浏览器进程,使用户无法通过网络查找解决办法。
处理办法:
该病毒是目前最强悍的病毒,目前在网络上没有找到好的处理办法,有关杀毒软件的网站也找不到相关数据和对付办法。由于该病毒抢先在杀毒软件运行之前就进占了内存。因此一般的杀毒软件无法对付。
通过进程模块分析,该病毒除了绑定在桌面浏览器进程之外,还绑定在输入法进程里,因此,单纯终止浏览器进程也无法将其删除。具体操作如下:
1、正常启动电脑,关闭modem断开网络,如果在局域网或宽带小区也可以拔出网线。
2、修改注册表,显示隐含文件:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
将以上代码保存为文本文件,改名为show.reg导入注册表。
2、调出任务管理器,将病毒进程终止,同时中止explorer.exe和ctfmon.exe。此时桌面将变成空白。
3、在任务管理器中点新任务,在弹出的对话框里输入regedit.exe点确定,在注册表里搜索cbc46415和dl1.exe字段,把找到的所有内容删除。
4、返回任务管理器,在新任务中点浏览,找到用户目录\local settings\temp\下的dl1.exe文件,右击删除。依次找到C:\Program Files\Common Files\Microsoft Shared\MSInfo\下的CBC46415.DLL和6415.DAT删除,然后删除各分区根目录下的CBC46415.EXE和autorun.inf文件。
5、重新修复安装杀毒软件,使其能优先进占内存,然后重新启动电脑,运行杀毒软件扫描系统,将其它相关的病毒文件清除干净。
