病毒主文件的文件名为msinfmgr.exe.在染毒的闪盘上会发现有msinfmgr.exe和autorun.inf文件,感染电脑后在安全模式下会看到/windows/system32下建立msinfmgr.exe和msinfmgr.dll文件,在/windows/system/drivers下建立msinfomgr.sys文件。在D盘下建立文件msinfmgr.exe和autorun.inf文件,因此有不少人中毒后重装系统一样染毒。任务管理器中会出现多个msinfmgr.exe进程,并会不断增多,短时间内就会造成系统瘫痪,同时很多软件都无法运行,进入Windows会报错。
进行静态查杀,所测试过的杀毒软件只有nod32发现未知病毒。在虚拟机下动态测试时,直接运行msinfmgr文件后,在我的电脑里看不到任何内容,一面空白,一些软件无法运行,此外无其它症状。怀疑是通过autorun.inf中的执行参数激活的。
解决方法:
1. 进入安全模式
2. 在“开始――运行”下:regedit
注意:
在对注册表进行操作的时候,最好先将注册表备份,方法:“开始”――“导出注册表”将备份注册表文件放在非系统盘,当杀毒完毕以后,再将备份注册表文件删除。
3. 查找msinfmgr 第一次查找到的是LEGACY_MSINFMGR
1)。 删除LEGACY_MSINFMGR.若提示“无法删除LEGACY_MSINFMGR:删除时出错” ――解决方法:选择该项右键权限?完全控制 点勾。应用,然后就可以删除了。
2)。 接着继续查找msinfmgr 会找到一个msinfmgr文件夹,删除。接着继续查找msinfmgr,找到就删除,直到整个注册表内都删除完毕。
打开我的电脑,在“工具――文件夹选项――查看”将“隐藏受保护的操作系统合文件夹”和“隐藏已知文件类型的扩展名”对勾摘掉;
4. 选择“显示所有文件和文件夹”选项。然后应用。在system32目录下:删除msinfmgr.exe和msinfdll.dll这俩个文件,在删除msinfdll.dll时,会提示无法删除。解决方法:修改msinfdll.dll文件的后缀名为“msinfdll.txt”,这时还是不能删除,需要在第5步完成以后才可以重启再删除。
system32\drivers目录下:删除msinfomgr.sys,在D盘下删除msinfmgr.exe和Autorun.inf这俩个文件,并且检查其他盘符下是否有msinfmgr.exe和Autorun.inf这俩个文件,全部删除。
5. 重新启动计算机:
在system32目录下删除刚才修改后缀名的那个msinfdll.txt文件。