tel.xls.exe 新变种.破坏系统文件mmc.exe(把很多系统文件都感染了)

 昨天,我给老师维护电脑.他的电脑杀毒软件不能用,诺顿抱内存不够!我查看任务管理器,内存只有200.而他的物理内存是512的!诺顿抱内存不够是不正常的!我想应该是中毒了!

我用SSR扫描查看启动项目!发现很多未知的启动项目!
我把我的U盘插入的电脑,立刻我的U盘上出现了两个未知文件!
我用资源管理器查看其他盘符,每个盘符里都有AUTORUN.INF
tel.xls.exe

我把启动项目禁用!删除各个盘符里的AUTORUN.INF
tel.xls.exe!重启!电脑很快启动了!进入系统后也正常了!我以为杀毒结束了!
可事实不是,我一打开我的电脑,系统边有问题了!运行变的极其卡!

于是,我把诺顿卸载!装卡巴斯基,进行杀毒!我相信卡巴斯基的杀毒能力!
接下来,杀毒进行的极其缓慢!卡巴斯基中途四五次重新启动电脑!怎么也清除不了病毒,只能删除!而被感染的都是系统文件,像mmc tsshutdown,等!我强行删除!
结果,病毒清除了!但系统已经满目创痍!我郁闷中........
今天,我到卡卡社区.看看到了mopery斑竹的解决方法!

全文摘抄如下:

运行样本后..
释放文件
C:\WINDOWS\BACKINF.TAB
C:\WINDOWS\Session.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\system32\FileKan.exe
C:\WINDOWS\system32\SocksA.exe
C:\WINDOWS\ufdata2000.log
%Temp%下释放两个随机名的临时文件(*.tmp)
替换掉系统文件 C:\WINDOWS\system32\mmc.exe (大小为61440字节.正常的应该是814592字节)

释放每个盘符下
AUTORUN.INF
tel.xls.exe

注册表添加
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[ASocksrv]SocksA.exe{0x00}{0x00}{0x00}{0x00}{0x00}

添加服务
[Smart Card Supervisor / mmc]
〈C:\WINDOWS\system32\mmc.exe〉〈N/A〉*/

删除隐藏文件键值
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue

访问本地 127.0.0.1

清除方法:
1.Ctrl + Alt + Del 打开任务管理器
结束应用程序 kill
结束进程 mmc.exe

2.删除添加的注册表以及服务
http://www.kztechs.com/sreng/sreng2.zip
下载 SREng 解压 运行-启动项目-注册表-删除
〈ASocksrv〉〈SocksA.exe〉 [1]

启动项目-服务-WIN32 应用程序
找到 [Smart Card Supervisor / mmc]
〈C:\WINDOWS\system32\mmc.exe〉〈N/A〉 删除...

3.利用压缩工具 WINRAR 删除文件
C:\WINDOWS\BACKINF.TAB
C:\WINDOWS\Session.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\system32\FileKan.exe
C:\WINDOWS\system32\SocksA.exe
C:\WINDOWS\ufdata2000.log
C:\WINDOWS\system32\mmc.exe

还有每个盘符下的
AUTORUN.INF
tel.xls.exe

3.恢复显示隐藏文件功能
http://mopery.hits.io/yincang.zip
下载 解压 双击 不能显示隐藏文件.reg 导入即可..

4.去正常系统中复制一个 C:\WINDOWS\system32\mmc.exe 到本机..