niu.exe杀毒!

发布网友 发布时间：2022-04-23 14:15

我来回答

共4个回答

热心网友 时间：2023-09-16 16:32

只要搞死crsss.exe和niu.exe，他还是一样会完蛋。很容易，步骤如下：
点“开始”--“运行”，输入cmd 回车
打开命令提示符
依次输入：
cd.. 回车
cd.. 回车
cd windows 回车
cd system32 回车
attrib -s -h crsss.exe 回车

这时候，在C盘的windows\system32文件夹下面，这个病毒文件就会现出原形来了！
用Process Explorer等高级进程管理器结束crsss.exe和niu.exe这些病毒进程，然后删除crsss.exe和niu.exe。
回到命令提示符，输入：
d: 回车（进入D盘）
attrib -s -h autorun.inf 回车（让autorun.inf文件显示）
这时候可以轻易删除autorun.inf文件，可能会有其他文件伴随，如IO.pif，可以试试，输入：
attrib -s -h IO.exe 回车
如果没有任何提示，则表示该文件存在，这个也是病毒文件，马上删除。其他盘符同样处理。
病毒文件可不只有这么几个，还有许多，我把病毒文件给你列出来：
各根目录 autorun.inf
IO.pif
C:\WINDOWS\TIMHost.exe
C:\WINDOWS\system32\RAV008C.exe
C:\WINDOWS\system32\RAV00AE.exe
C:\WINDOWS\system32\niu.exe
C:\WINDOWS\system32\autorun.inf
C:\WINDOWS\system32\SoundMan.exe
C:\Program Files\Rising\Rav\RavTask.exe
C:\WINDOWS\mppds.exe
C:\program files\common files\services\svchost.exe
c:\windows\system32\zxepri.dll
c:\windows\system32\mscomm.dll
c:\windows\system32\msdebug.dll
c:\windows\system32\remotedbg.dll
c:\progra~1\3721\cnsm.dll
c:\program files\common files\microsoft shared\msinfo\atmqq2.dll
c:\program files\internet explorer\iexplore32.dat
c:\program files\internet explorer\iexplore32.sys
c:\program files\internet explorer\plugins\syswin.sys
c:\windows\system32\236245.dll
c:\windows\system32\windds32.dll
c:\program files\internet explorer\iexplore32.win
c:\windows\system32\wmiapisrv2.dll
c:\windows\system32\navcoy.dll
c:\windows\system32\mybpri.dll
c:\windows\system32\zl.dll
c:\windows\system32\dkv.dll
c:\program files\common files\services\svchost.exe
c:\windows\system32\qhbpri.dll
c:\program files\internet explorer\plugins\system.aaa
c:\windows\timhost.exe
c:\windows\system32\msdebug.dll
c:\windows\system32\remotedbg.dll
c:\windows\system32\netsrvcs.dll
c:\windows\system32\windds32.dll
c:\windows\hacker.com.cn.exe
c:\windows\\systemroot\system32\drivers\makisa.sys
c:\windows\system32\drivers\svorctg.sys
c:\windows\system32\mssock.sys

注册表加载(启动项目 －－ 注册表)：
[N/A] <C:\Program Files\Common Files\Services\svchost.exe>
<C:\WINDOWS\system32\DKV.dll>
[{D544C22D-1F70-4B1E-873D-D8DABEB26695}] <C:\Program Files\Common Files\Microsoft Shared\MSINFO\atmQQ2.dll>
[{EE12D60D-AD9A-4095-B839-3BE6862679FD}] <C:\Program Files\Internet Explorer\IEXPLORE32.Dat>
[{A45B2C37-01D0-4D3E-BE5E-CC119B17BE9E}] <C:\Program Files\Internet Explorer\IEXPLORE32.win>
[{C5E87A05-F463-4841-B19E-DD3EC3862368}] <C:\Program Files\Internet Explorer\IEXPLORE32.Sys>
[{40117B96-998D-4D80-8F-5E9DBD9F3460}] <C:\Program Files\Internet Explorer\PLUGINS\SysWin.Sys>
[{26368135-FA-BC34-DA32-DCF4FD431C92}] <C:\WINDOWS\system32\qhbpri.dll>
[{2562452F-FA36-BA4F-2A-FF5FBBAC5312}] <C:\WINDOWS\system32\mybpri.dll>
[{5A65498A-7653-9801-17-987114AB7F45}] <C:\WINDOWS\system32\zxepri.dll>
[{DE35052A-9E37-4827-A1EC-79BF400D27A4}] <C:\Program Files\Internet Explorer\PLUGINS\System.aaa>
[{54123FF1-8371-9834-9021-184518451FA5}] <C:\WINDOWS\system32\WMIApiSrv2.dll>
[{3495D328-661A-4FB0-BA67-8ACDD1704D1E}] <C:\WINDOWS\system32\236245.dll>
修改项[AppInit_DLLs]为<zxepri.dll>（原为空）
[mppds] <C:\WINDOWS\mppds.exe>
[RAV00AE] <C:\WINDOWS\system32\RAV00AE.exe>
[RAV008C] <C:\WINDOWS\system32\RAV008C.exe>
[TIMHost] <C:\WINDOWS\TIMHost.exe>
[] <C:\Program Files\Common Files\Services\svchost.exe>
[stup.exe] <Rundll32.exe C:\PROGRA~1\TENCENT\SSPlus\SPlus.dll,Rundll32 R>

加载服务( 启动项目 －－ 服务 －－ Win32服务应用程序)：
[Win32 Debug Service / MSDebugsvc] <C:\WINDOWS\system32\rundll32.exe msdebug.dll,input>
[Remote Debug Service / RemoteDbg] <C:\WINDOWS\system32\rundll32.exe RemoteDbg.dll,input>
[Wireless Service / WZCSRVC] <C:\WINDOWS\system32\rundll32.exe netsrvcs.dll,input>
[Win32 Display Driver / Win32DDS] <C:\WINDOWS\system32\rundll32.exe windds32.dll,input>
[SYSTEM / SYSTEM] <C:\WINDOWS\Hacker.com.cn.exe>

在SREng的启动项目--服务--驱动程序之如下项删除：
[makisa / makisa] <\SystemRoot\\SystemRoot\System32\drivers\makisa.sys>
[svorctg / svorctg] <\SystemRoot\system32\drivers\svorctg.sys>
[mssock / mssock] <\??\C:\WINDOWS\system32\mssock.sys>
[lgrhsgr / lgrhsgr] <>
把所有盘符根目录下的autorun.inf和IO.exe文件都删除以后重新启动计算机，用SREng修复文件关联、安全模式等，装个360安全卫士升级到最新版本把这个病毒下载下载的恶意软件全部清理干净，重新开机，一切ok。

热心网友 时间：2023-09-16 16:33

我给你金山毒霸2007杀毒套装你试试看!

热心网友 时间：2023-09-16 16:33

把下面的代码复制下来，另存为bat文件也就是批处理文件了，然后双击运行就可以了。如果还有什么问题的话，请在我的百度空间里留言。

@echo off
title 忆林子
color 0a
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
echo.
echo 该病毒资料
echo 瑞星将该病毒定义为：Worm.Win32.DownLoad.b
echo.
echo 该病毒建立的包括的源文件如下:
echo.
echo 病毒文件全路径 大小(字节)
echo c:\autorun.inf 159
echo c:\niu.exe 30,625
echo c:\WINDOWS\system32\Autorun.inf 159
echo c:\WINDOWS\system32\crsss.exe 30,625
echo 其它所有分区:\autorun.inf 159
echo 其它所有分区:\niu.exe 30,625
echo.
echo autorun.inf文件里的内容
echo.
echo [AutoRun]
echo.
echo open=niu.exe
echo shell\open=打开(^&O)
echo shell\open\Command=niu.exe
echo shell\open\Default=1
echo shell\explore=资源管理器(^&X)
echo shell\explore\Command=niu.EXE
echo.
echo 该病毒的后果:
echo 你的杀毒软件会无法打开,另外你的系统时间会被修改成2000年,无法显示隐藏文件
echo 另外，该病毒会把注册表项删除，导致你进入安全模式就蓝屏。
echo 可能还有其它的情况,我这里就不详细说明了.
echo.
ECHO 注意：该病毒会将你的系统时间修改为2000年，而这个杀毒程序的会将你的时间
echo 修改为2007年，你如果是在2007年使用这个的话，系统时间就不用修改了，否则
echo 杀毒后请自己重新设置系统时间。
echo.
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
echo.
set /p tmp=以上是该病毒的信息，如果要清除该病毒，请回车键开始杀毒...

rem 结束病毒进程
for %%d in (niu.exe,crsss.exe,reg.exe) do (
taskkill /im %%d /f
cls
)

rem 把时间改成2007年
FOR /F "eol=; tokens=1,2,3 delims=- " %%i in ('date /t') do (
date 2007-%%j-%%k
)

rem 去除病毒源文件的 系统、隐藏、只读 属性,然后删除它们。
for %%d in (Autorun.inf,crsss.exe) do if exist "%systemroot%\system32\%%d" (
attrib -s -h -r "%systemroot%\system32\%%d"
del "%systemroot%\system32\%%d" /q
)
rem 添加进入安全模式的注册表项
reg add "HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}" /ve /d DiskDrive /f
reg add "HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}" /ve /d DiskDrive /f
reg add "HKLM\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}" /ve /d DiskDrive /f
reg add "HKLM\SYSTEM\ControlSet003\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}" /ve /d DiskDrive /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}" /ve /d DiskDrive /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}" /ve /d DiskDrive /f
cls

rem 解除对任务管理器的禁用
reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableTaskMgr /f

rem 解除禁用Windows更新程序
reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate" /v DisableWindowsUpdateAccess /f

rem 添加显示隐藏文件的注册表项
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN" /v Text /d "@shell32.dll,-30501" /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /d 1 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v DefaultValue /t reg_dword /d 2 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v HelpID /d "shell.hlp#51105" /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v HKeyRoot /t reg_dword /d 21474839 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v RegPath /d "Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v Text /d "@shell32.dll,-30500" /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v Type /d "radio" /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v ValueName /d "Hidden" /f

rem 删除病毒添加的启动项
for %%f in (crsss) do (
reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v %%f /f
)

rem 删除其它盘根目录下的病毒文件
for %%f in (autorun.inf,niu.exe) do (
for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do (
if exist %%d:\%%f (
attrib -s -h -r %%d:\%%f
del %%d:\%%f /q
)
)
)

rem 删除病毒在注册表中添加的关联
if exist test.忆林子 del test.忆林子
reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options">test.忆林子
for /f "tokens=* delims= skip=4" %%j in (test.忆林子) do (
reg delete "%%j" /v debugger /f
cls
if exist test.忆林子 del test.忆林子
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
echo.
echo 正在清除由病毒添加的注册表项,请稍候...
echo.
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
)
if exist test.忆林子 del test.忆林子
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path" /v Debugger /d "ntsd -d" /f
cls

color a0
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
echo.
echo 病毒清除完毕，按回车键开始解决分区无法双击打开的问题.
echo.
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
set /p test=
cls
@echo off
title 忆林子--解决分区无法打开
color a0
rem 删除引起磁盘无法双击打开的autorun.inf文件
for /d %%i in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%i:\autorun.inf (
cacls %%i:\autorun.inf /c /e /p everyone:f
attrib -s -h -r %%i:\autorun.inf
del %%i:\autorun.inf /q
)
rem 进行磁盘检查，恢复双击打开功能
for /d %%i in (d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%i: chkdsk %%i: /f /x
cls
color ec
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
echo.
echo 操作结束,按回车键退出该程序...
echo.
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
set /p temp=
:exit
exit

热心网友 时间：2023-09-16 16:34

该账号已隐藏