木马 ODBCJET.exe cn911.exe
前不久电脑启动, 总是跳出错误提示“ ODBCJET.exe 错误, xxxxxx不能写”。一看以为是数据库程序, 也没注意。后来KAS杀出一堆木马, 再重起又是,这次发现不对。 用冰刃看到一个隐藏进程:ODBCJET,从名字看,应该是数据库驱动吧~~ 管它呢,先看看文件信息,右键-属性-版本,恩,微软的,应该没问题,再看看,什么什么?内部名称:VBDOWN 源文件名称:VBDOWN.exe,这好像和数据库没什么关系吧~~以防万一,先关了再说,打开REGEDIT,在熟悉的自启动项目里找,找不到?!查VBDOWN~~找到了,哈哈,好隐蔽啊,在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon项里,有字符串Userinit,把值里运行ODBCJET的值删掉。原来在这里,怪不得进安全模式也自启动!好了,开机再试试。不报错了。把CNXXX删了,把ODBCJET.exe删了。看来木马作者学过心理学啊~~
总结:
1、貌似正常系统文件得ODBCJET.EXE是木马病毒,修改注册表,每次开机自动在临时目录生成木马程序,开后门下载其他木马或病毒。
2、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit里也可以放自启动项目,且在安全模式也可以自动启动,因为只要一登陆就运行了。
找到userinit 后里面是C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\taskrgm.exe, 这个样子,我看不明白~~
那就对了,你需要把注册表userinit后面的那个C:\WINDOWS\system32\taskrgm.exe删掉。 1.首先用冰刃把可疑进程终止,比如上边那个taskrgm.exe,正常的是taskmgr.exe。冰刃是个很好的杀毒辅助工具,可以查看隐藏进程。 2.然后就直接都相应地方把进程的映像文件给删除,比如到C:\WINDOWS\system32\里把那个taskrgm.exe给删了。 3.最后就是把注册表改回来,userinit 后边只保留C:\WINDOWS\system32\userinit.exe,就可以了。
cn911.exe,ODBCJET.exe病毒清理方法
病毒表现
每次开机都会弹出类似DOS命令提示符的窗口,并且弹出警告窗口说:C:\Documents and Settings\new\Local Settings\Temp\CN911.EXE <BR>NTVDM CPU 遇到无效的指令.CS:Odd5 IP:01b9 OP:63 68 61 72 73选择"关闭"终止应用程序。
感染U盘,生成autorun.inf 和 cn911.exe 文件
清除方法1
进入安全模式
删除“windows\system32\ODBCJET.exe”文件
删除电脑中所有cn9文件
打开regedit注册表编辑器,搜索注册表中所有cn9相关的项,值,数据。并删除。
搜索注册表中所有ODBCJET.exe相关的项,值,数据。并删除。
应为会感染U盘,所以别忘了删除U盘上autorun.inf 和 cn911.exe 文件
重起电脑即可
清除方法2
进入安全模式
找到注册表中下列项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
将以下的键值<Userinit><C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ODBCJET.exe,>
修改为
<Userinit><C:\WINDOWS\system32\userinit.exe,>
找到C:\WINDOWS\system32\ODBCJET.exe 删除
根据自己情况来选择使用哪种方法
TAG:
评分(
