不忘初心
追求纯净

手贱后的救命教程——Step By Step带你清除000.exe病毒

看着网上各路大神调戏000.exe病毒,感觉很好玩?或者说自认为手工杀毒能力极强?结果不幸实机中招被迫重装系统甚至丢失数据?别担心,这篇教程将会带你完成一次完美的手工杀毒流程,让你知道000.exe病毒也没那么可怕!

在开始这篇教程之前,请务必阅读以下文字内容。此病毒对系统破坏性极大,而且后期善后工作时,会破坏桌面上所有数据,务必请不要在自己常使用的设备上以身试毒!此教程建议有一定动手能力的人进行实验!关于网上所传的虚拟机逸出,在此次实验中不会发生!请放心进行实验!

准备好了吗?那我们就开始吧!@极安全小雨

一、实验环境:

物理机: Windows 10 专业版 (14393.693)

部署火绒杀毒软件

虚拟机: Windows 10 专业版 (14393.447) [ 所使用的镜像为:cn_windows_10_multiple_editions_version_1607_updated_jan_2017_x64_dvd_9714394.iso]

原生安装,不对系统进行任何优化

病毒样本 : 000.exe

文件名称:000.exe

文件大小:6.66MB (6983680 bytes)

文件MD5:F2B7074E1543720A9A98FDA660E02688

文件SHA1:1029492C1A12789D8AF78D54ADCB921E24B9E5CA

(笔者注:如果需要直接查看病毒清理过程,请直接跳转到第四章节:病毒的手工清除,谢谢!)

二、实验准备工作

在此次实验中,我们选用Windows 10 专业版 2017年一月版(版本核心:14393.447)作为实验环境镜像,VMware Workstation 12.5.2作为虚拟机环境,并在虚拟机中部署VMware Tools来提升虚拟机性能。在实验开始前,先进行基础环境配置,以确保实验过程顺利。

接下来,依次点击“虚拟机”-“安装VMware Tools”来开始安装VMware Tools。
(笔者注:安装VMware Tools,请保证虚拟机中至少有一个光驱(不是物理机的光驱),以确保能够顺利安装VMware Tools。)

到这里,已经完成基础环境的搭建,为了后续实验方便,我们在这里选择为虚拟机创建一个快照(相当于秒速版的一键还原)。依次点击“虚拟机”-“快照”-“拍摄快照”,打开快照创建页面。填写好相关信息后,点击“拍摄快照”。

三、下载病毒并开始实验

我们从病毒下载地址[ 下载地址:https://drive.google.com/file/d/0B–fKo3sxQbHbTd6QWJOd2hMX2M/view],获取病毒,开始实验。

在点击“是”后,病毒被运行,实验正式开始。

在病毒运行过程中,会重复播放一段简单的录像,以起到迷惑作用。

在000.exe运行一段时间后,系统自动重启(可从配套病毒样本包的windl.bat最后一行得到特征行为),

病毒运行成功后,会篡改用户桌面和用户名。

桌面被篡改成功,原桌面文件数据全部丢失。

无限弹窗,无法停止。

UR NEXT*.txt 文件属性。

UR NEXT*.txt文件内容。

OPENME*.rtf内容

 

病毒到这里已经完全发作,接下来,我们开始手工清楚病毒。

(路人A:快点吧,我等到花都谢了)

(路人B:你再不开讲,我重置系统了)

(笔者:好好好,开始讲解了……)

四、病毒的手工清除

毒已发作,接下来我们需要做的,就是手工清除病毒。请按照以下说明依次有序操作,只要电脑不爆炸,就不会发生更多的意外。

Step 1:停止当前无限弹窗

右键开始菜单,点击“命令提示符(管理员)”(必须是管理员权限启动,关闭UAC的可以直接启动CMD),弹出UAC提权警报。

在打开的命令提示符中,请输入命令“taskkill /f /im conhost.exe” (强制结束conhost.exe,阻止继续弹窗)。

因为命令提示符也是基于conhost.exe,故执行命令后,命令提示符也被关闭。但是不是发现,不再继续弹窗了?

接下来,重复上一步骤,再次提权打开命令提示符。之后请输入命令“taskkill /f /im runaway.exe”(强制结束病毒主体,关闭所有弹窗)

Step 2:删除病毒在桌面创建的所有文件

依次输入命令:

cd %USERPROFILE%\Desktop (进入当前用户桌面)

del UR*.txt (匹配所有UR开头的txt文件,并删除)

del OPENME*.rtf (匹配所有OPENME开头的rtf文件,并删除)

Step 3:恢复被篡改的壁纸

右击桌面空白处,“个性化”-“背景”-“背景”,将“纯色”修改为“壁纸”,并选择一张壁纸。

Step 4:恢复被锁定的任务管理器并清除病毒开机启动项

将以下内容保存为.reg格式的文件并导入,即可解锁任务管理器:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
“DisableTaskMgr”=-

解锁成功后,启动任务管理器,点击“详细信息”,展开任务管理器。

切换到启动选项卡,可以发现病毒的启动项。

所有的病毒启动项。

接下来,右键rniw.exe,点击“打开文件所在位置”。

接下来怎么办?当然是,删掉!

病毒在%temp%路径下,也有程序和些许残留,放心大胆的删掉他们吧!不会对系统造成影响的!
清理完成后,重新启动电脑,验证是否成功阻止病毒开机启动。

Step 4:修复被破坏的txt文本文件格式默认图标

病毒主体到这里算是被干掉了?不过,这烂摊子总得有人收拾吧?别急,接下来跟着一起做,把系统恢复到正常状态!

首先,由于病毒篡改了txt格式的默认图标,导致图标异常,接下来,我们需要做的,就是恢复被异常篡改的图标。

按下Win+R键,调出运行,然后输入regedit启动注册表编辑器(或者开始,然后输入regedit后回车,也可以达到同样效果)。

接下来,请定位到HKEY_CLASSES_ROOT\txtfile\DefaultIcon,发现键值不太对劲吧?没关系,将默认键值修改为“%SystemRoot%\system32\imageres.dll,-102”,之后关闭注册表编辑器。

Step 5:恢复被篡改的用户名

有点要放弃了?别灰心,胜利在望了!

右键开始菜单-“控制面板”-“程序”-“更改账户类型” – 双击自己账户 – “更改账户名称”,修改为自己喜欢的名称吧!之后点击“更改名称”确认改动。

最关键也是最激动人心的时候到了!重启电脑,看看自己的成果吧!

五、小结

这次主要是我在Bilibili和爱奇艺上看到了这个病毒,对其感兴趣,同时发现已有的视频教程并不能很好的Step By Step教学清除病毒,于是我写下此教程,旨在帮助更多用户体验手工杀毒的魅力。

教程到这里全部结束。如果任何疑问或建议,欢迎加入极安全官方QQ群:9820340或者电邮作者邮箱xycs2xxy#foxmail.com(#换成@)进行热烈的幕后交易。

样本下载:http://pan.baidu.com/s/1kVhWZxP 密码: 24zx(请勿实机运行,造成一切损失与笔者无关。)

本教程版权归Lemonrain作者和极安全网所有,欢迎免费转载,但请注明转载来源及作者信息,侵权必究!

赞(1)
未经允许不得转载:云库网 » 手贱后的救命教程——Step By Step带你清除000.exe病毒

评论 1

评论前必须登录!

 

  1. #1
    Google Chrome 56.0.2924.87 Google Chrome 56.0.2924.87 Windows 10 x64 Edition Windows 10 x64 Edition

    666补丁

    星宇3年前 (2017-02-09)