[交流] 新病毒flivnlg.exe、nbxbbkb.exe、snladeb.exe清理方法

大家好！今天看书发现了这篇文章，写得很好，所以打了上来，看看大家是否有用。
　　“AV终结者”，以前的解决方法比较简单，但随着病毒的变种，那种方法可能已经无效了，后来也看到发现explorer进程无法关闭等情况，这次有幸再次遇到类似的病毒，将杀毒方法和思路再次放出，呵呵！

1 现象：

这种病毒类似于AV终结者（也许是变种吧），在网页中搜索病毒相关就会自动关闭浏览器，有时会出现网络连接正常但无法上网（但可以上QQ）的情况，杀毒软件无法运行和安装，隐藏文件无法显示，所不同的是文件名里不包含数字，病毒还会修改系统日期等。

首先发现在D、E、F、磁盘生成autorun.inf和flivnlg.exe，在msconfig启动里出现
C:\Program Files\Common Files\Microsoft Shared\snladeb.exe
C:\Program Files\Common Files\system\nbxbbkb.exe
两个启动项，不过关闭不掉。

偶本想终止explorer进程，然后到命令提示符下进行删除，结果发现终止后系统马上又会重新启动explorer。将iceSword（冰刃）改名后运行成功，不过用冰刃也无法关闭进程，因为发现系统会每秒刷新一次，当点中进程后，还没来得及点强制终止按钮，就被刷新掉了。无奈想进入安全模式，但证明安全模式也无法进入，系统会自动重启（av终结者出现的是蓝屏）。

2 分析：

经尝试，要彻底删除flivnlg.exe病毒，必须要先干掉snladeb.exe和nbxbbkb.exe，但这两个文件用冰刃也无法删掉，只能在dos或者pe下进行，但身边没带工具盘，现在只能在“带命令提示符的安全模式”下进行，这时就必须先修复安全模式才行。偶先从QQ群空间里下载需要的修复工具，包括安全模式修复文件、winsockxpfix、IFEO映象劫持修复、显示隐藏文件修复等工具。现在担心的就是怕修复好安全模式后，又会马上破病毒破坏掉，造成修复失败，呵呵，先试试再说。

安全模式修复工具是个注册表文件，双击导入注册表后马上重启系统，按f8键选择进入带命令提示符的安全模式，看来好运一路顺利，系统成功进入命令提示符状态。按照前面的路径分别进入
C:\Program Files\Common Files\Microsoft Shared\
C:\Program Files\Common Files\system\
由于病毒是隐藏属性，需要用dir /a参数才能看到病毒文件，查看文件生成日期，对比其他文件，暂没发现其他可疑。

3 杀毒：

现在所知道的病毒文件只有snladeb.exe、nbxbbkb.exe、flivnlg.exe和相关文件autorun.inf，开始动手杀毒了！
为防止病毒在其他地方也藏身，先回到c盘根目录

cd c：

然后使用参数进行杀毒

del /a /s /f /q snladeb.*
del /a /s /f /q nbxbbkb.*

c盘清理掉，开始其他盘

d:
del /a /f /q flivnlg.exe
del /a autorun.inf

e:
del /a /f /q flivnlg.exe
del /a autorun.inf

f:
del /a /f /q flivnlg.exe
del /a autorun.inf

清理完毕，重启系统。

4 其他修复

正常进入系统，检查进程没有发现问题，先修改系统日期，然后“修复无法显示隐藏文件”，修复winsock、修复IFEO、清理病毒的启动项，检查系统服务并做优化。

使用“恶意软件清理助手”、“瑞星卡卡”等扫描系统，发现系统存在大量漏洞，安装补丁，安装杀毒软件，升级并全盘扫描。

5 总结

这次杀毒就这么完成了，和以前的AV终结这相比，最大不同就是病毒文件名不再一致：av的病毒名字就是“随机数字字母.exe”、“同样的数字字母.dat”、“同样的数字字母.dll”，所以以前用
del /a /s /f /q 文件名.*
一个通配符就删掉了，而这次的病毒名字是flivnlg.exe、nbxbbkb.exe、snladeb.exe，文件名看起来没有什么相关之处，而且这次的病毒还会使explorer进程无法关闭，iceSword冰刃也无法顺利解决，现在的病毒越来越牛了。