文本处理数据备份 系统辅助服 务 器 系统优化电脑常识 电脑安全资源共享 通信网路网上冲浪 反毒杀毒菜鸟进阶 互 联 网
网络安全 网络营销网络安全 I T 趣 谈操作系统 工具软件电脑医院 网上赚钱经典教程 网页制作反毒杀毒 实用技术数据结构
局域网技术快活林学院 Flashasp CssaspNet HtmlPhp JspC# JsExcel WordVba access
  当前位置:IT快活林→网上冲浪菜鸟进阶

U盘病毒的杀除方法。

作者:IT快活林   发布时间:2008-1-29 10:23:48

U盘病毒有很多种,在这里我只讲下我遇到的情况,希望能给大家一点借鉴。
病毒程序:autorun.inf,RavMon,exe.MDM,EXE,SVCHOST.EXE,EXPLORER.EXE。
中毒后的症状:首先系统的性能会有所下降,系统无法显示隐藏文件。会导致系统的各盘符无法在我的电脑中打开。会导致系统在启动时无法显示桌面。如果此毒长期存在你的机器里,它还会自己下载其他的病毒。其他的状况还未发现。
病毒会在启动栏里添加2个启动程序。MDM.exe和EXPLORER.exe,会在任务管理器中多出一个名为SVCHOST.exe的进程(进程名为大写)。监视注册表,无法显示隐藏文件,无法用组策略关闭自动播放。
杀除方法:首先要显示隐藏文件,首先打开文件夹选项。然后将下面这个注册表文件保存下来,存为注册表文件。
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]
"Text"="@shell32.dll,-30499"
"Type"="group"
"Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,\
48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,\
00
"HelpID"="shell.hlp#51131"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

这个文件是由未中毒机器里导出的。打开C:\WINDOWS目录。点击这个注册表,将其注入注册表
,然后点选文件夹选项里“显示隐藏文件”和“隐藏受保护的系统文件”(选为未选中)两项,此时你会在C:\WINDOWS目录下发现一个隐藏的名为SVCHOST.exe的文件。然后在任务管理器中结束名为SVCHOST.exe的进程。如果你无法把他和其他的SVCHOST进程区别开,你可以在CMD下输入TASKLIST /SVC,一般来说,那个没有任何说明的SVCHOST就是病毒程序,然后你可以通过其PID找到它。将其删除。删除该目录下的MDM.exe文件。并删除C:\WINDOWS目录其他的可疑的文件。
动作要快,因为你只有几秒钟的时间来删除它。然后进入C:\WINDOWS\SYSTEM32目录下删除EXPLORER.EXE文件,这个文件也是隐藏的.然后通过磁盘管理来打开各盘,删除各盘下的AUTORUN.INF和RavMon.EXE.不要通过我的电脑来打开各盘.一旦你通过我的电脑打开,病毒又会重新生成.
你也可以在CMD下通过"EXPLORER C:\"这个命令来打开各盘.最后清空MSCONFIG下的病毒启动项,在组策略中关闭自动播放.检查各系统文件,看是否还有其他可疑文件.重新启动电脑.到此,杀毒工作完成.
< 我也是菜鸟,有什么不对的地方欢迎大家指正啊.大家多发帖子,互相学习啊.<

[ 本帖最后由 leikunyuan 于 2007-5-11 23:52 编辑 ]

====================快活林===================

这个就是落雪病毒吧?
很多专杀工具.这个对菜鸟来说难了点哈

====================快活林===================

这个就是落雪病毒?我一直不知道。。。。。

====================快活林===================

顶一下下

====================快活林===================

对不起,管理员设置了当您的威望低于 0 的下限时不能进行此操作,请返回。
》热 点 关 注