SOLA病毒(sleep.exe和rar.exe)的清除方法

病毒可能是通过以下一个或者几个途径实现启动的：1.通过%ALLUSERSPROFILE%\「开始」菜单\程序\启动 2.通过染毒的.doc .txt .jpg文件启动 3.通过各盘符下面的Autorun.inf实现启动 4.通过Windows\Tasks\Tasks.job启动 5.其他的我没发现的途径，因为我搞的也不是太明白。

宅男请进（SOLA 2.0）病毒症状：
1. 每个盘符下有隐形的SOLA文件夹，当然不一定像我是空的（因为我的卡巴斯基起了部分作用）。
2. system32目录下有sleep.exe和rar.exe。
3. Windows\Tasks目录下有Tasks.job文件。
4. Windows\Fonts目录下除了茫茫多的字体文件外还有HIDESE~1文件夹。
5. 许多.doc .txt .jpg文件都变成了.exe文件，但是文件图标没有发生变化，当你打开文件时，会在原目录下生成原文件、Function.dll和SOLA_2.0_22737206518937.bat三个隐藏文件。关闭文件之后，三个隐藏文件消失。
注意：对于Task.job文件和HIDESE~1文件夹，一定要在CMD模式下用dir /a才能看到，在图形模式下，即使你在文件夹选项下面选择了显示所有文件和显示隐藏文件也是看不到的，这一点我也不知道为什么。

在我看来（我一点也不牛），症状5中的SOLA_2.0_22737206518937.bat阐述了这个病毒运行原理，我就是依靠SOLA_2.0_22737206518937.bat找到的清除方法。说起来也要汗一把，我被逼无奈到网上找到批处理的教程，看了一下午，总算是勉强可以把SOLA_2.0_22737206518937.bat读明白咯。这里有个比较不错的批处理教程。

病毒在电脑中运行所进行的操作大概是：不停的检查各磁盘分区盘符下Autorun.inf文件中有无SOLA痕迹，如果没有，则从病毒目录下复制Autorun.inf和SOLA文件夹到各盘符下。然后不停地用病毒带的Scan.bat扫描各磁盘分区。当中病毒后开关机次数达到50次后，就在%ALLUSERSPROFILE%\「开始」菜单\程序\启动下创建TENBATSU.VBS文件，下次开机就自动运行此文件，实现修改系统根目录下的NTLDR文件，于是下次开机便进不了系统。如果恰巧您把此文件删除了，病毒依然会修改系统根目录下的NTLDR文件，同样进不了系统。

据我推测，病毒可能是通过以下一个或者几个途径实现启动的：1.通过%ALLUSERSPROFILE%\「开始」菜单\程序\启动 2.通过染毒的.doc .txt .jpg文件启动 3.通过各盘符下面的Autorun.inf实现启动 4.通过Windows\Tasks\Tasks.job启动 5.其他的我没发现的途径，因为我搞的也不是太明白。

清除方法：

1. 我推测可以使用的方法。如果不幸染毒，可以在自己电脑中找到SOLA_2.0_22737206518937.bat文件（依症状5描述），用记事本打开查看，有这么几行：

if "%1"=="-Install" goto Install
if "%1"=="-Run" goto Run
if "%1"=="-Tenbatsu" goto Tenbatsu
if "%1"=="-Kill" goto Kill
if "%1"=="-Killself" goto Killself

我研究过了，-killself可以实现自己清除病毒的功能，具体就是在命令行下依次输入
cd C:\Windows\Fonts\HIDESE~1
sola.bat -Killself
两步就可以清除病毒。注：此种方法我没有试验过，推测是这样的，因为在我读懂SOLA_2.0_22737206518937.bat之前，我已经del /F /S /Q HIDESE~1，把该目录下的文件全删除了。

———————————————————————————————————————————————

重要更新：功夫不负有心人，我电脑上恰好剩余一个染毒.txt文件（实际是.exe文件），我打开后又像先前那样生成3个文件，然后卡巴斯基连续五六次弹出检测到病毒的警告，我一路点击删除后，用命令行到Windows\Fonts下查看，再次产生了HIDESE~1文件夹，进入该文件夹，居然有SOLA.bat文件，找它很久了，终于可以实验一下了。