packer.mian007

王朝百科·作者佚名 2010-03-13

宽屏版字体: 小|中|大|超大

packer

Packer.Mian007,WINDOWS下的PE病毒

机子上所有的应用程序都被感染。

所以的游戏和应用程序都增加后缀mian007。

传播途径：通过U盘传播病毒

病毒特性：

FAT32盘符下会出现moqyhhm.exe和autorun.inf两个文件

在C：windowssystem32下有akrfvci.exe， hfgrncg.exe 和meex.com三个文件。

启动项会出现akrfvci.exe和hfgrncg.exe两个启动项

而且他能自动关闭杀毒软件

具体解决方法：

重启系统按F8进入安全模式，在msconfig下去掉akrfvci.exe和hfgrncg.exe的两个启动项，

进入注册表，找到[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL] 修改CheckedValue的DWORD的值为1 ，DefaultValue的DWORD的值改为0

以上是解决显示隐藏文件的问题，在清理病毒的时候我修改了CheckedValue的DWORD的值为1 ，可是依然无法显示隐藏的文件，所以就把DefaultValue的DWORD的值改为了0，然后才能正常显示隐藏文件了。

如果还是无法显示的话：

打开注册表编辑器，找到或新建“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer”

或“HKEY_LOCAL_MachineSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer”分支，

在右窗格中将“NoFileAssociate”（REG_DWORD型）的值改为0（1 为不允许用户更改文件属性，

0为允许用户更改文件属性），完成后保存、退出注册表编辑器，重新启动计算机。

然后在注册表中[HKEY_USERSS-1-5-21-3048705986-3482855256-3243356919-500SoftwareMicrosoftWindowsShellNoRoamMUICache]

下有akrfvci.exe和hfgrncg.exe的两个键值，把他删除掉，(看具体情况而定)。

也可以在注册表中搜索akrfvci.exe和hfgrncg.exe来删除存留的键值。

然后在[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion]会有一个[Image File Execution Options]的项，你会清楚的发现很多关于一些杀毒软件的进程名，这就是为什么你打开杀软是为什么会跳出一个错误对话框的原因，把[Image File Execution Options]的整个项给删除就可以正常访问杀软了。

接着就直接把各磁盘下的akrfvci.exe和hfgrncg.exe文件删除，在windowssystem32下删除akrfvci.exe， hfgrncg.exe 和meex.com三个文件（用瑞星也可以清理掉）

然后重启计算机就OK了。

小提示：

寻找akrfvci.exe和hfgrncg.exe文件在注册表的位置，可以用注册表的搜索功能。

光更改CheckedValue的值为1是无法正常显示隐藏文件的，修改了DefaultValue的DWORD的值才能正常访问隐藏文件，具体原因不怎么清楚------（修改注册表后应该重启一下电脑，才会使修改的有效）

如果修改后依然无法显示隐藏文件，可以用：

attrib -h -r -s c:windowssystem32akrfvci.exe

del c:windowssystem32akrfvci.exe

attrib -h -r -s c:windowssystem32hfgrncg.exe

del c:windowssystem32hfgrncg.exe

attrib -h -r -s c:windowssystem32meex.com

del c:windowssystem32meex.com