今天再也忍受不了sofa那个流氓软件。
sofa不但是浏览器的一个流氓插件,而且伴随有木马渗入,即使你把系统盘格式化重装,你的其他盘里有被感染的病毒(我中的是右键auto病毒)只要打开磁盘,病毒自动执行脚本,定时下载流氓插件,于是你刚装好的系统
又被感染了。
特征:
系统进程里有比较特殊的进程,且运行在window文件夹里的木马程序
system32里有文件名为shell脚本文件
其他盘内可能有类似的被主木马复制的脚本
注册表内的我就根据以下网上查的资料删了:
(以下为本人摘录)
盘符右键第一个是auto/autorun,这种症状的病毒挺多,这是其中一种,病毒是tel.xls.exe W32/Generic.d rose.exe。更改显示文件后,又恢复了隐藏属性
推荐方法:安全模式,橙色八月专杀
手动清除方法:
病毒名字类似,症状如下:
无非显示隐藏文件、系统变慢、CPU经常100%、打开硬盘分区时提示用什么程序打开、硬盘分区右键有Auto字样 soso.....]
!!!注意!!! 在以下整个过程中不要双击硬盘分区,需要打开时用鼠标 右键—>打开
一、关闭病毒进程
Ctrl + Alt + Del 任务管理器,在应用程序里面查找类似kill等你不认识 [任务栏不显示] 的任务,右键—>转到进程,找到类似 [SVOHOST.exe](但不是SVCHOST,相差一个字母)的进程,右键—>结束进程树
!!!补充!!!也可能就是svchost.exe,但是是C:\windows\svchost.exe而不是c:\windows\system32\svchost.exe,
二、显示出被隐藏的系统文件
开始—>运行—>regedit
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,将CheckedValue键值修改为1
这里要注意,病毒会把本来有效的 [DWORD] 值CheckedValue删除掉,新建了一个无效的字符串值 [REG_SZ] CheckedValue,并且把键值改为0!我们将这个改为1是毫无作用的。(有部分病毒变种会直接把这个CheckedValue给删掉,只需和下面一样,自己再重新建一个就可以了)
方法:删除此CheckedValue键值,单击右键 新建—>Dword值—>命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。
在文件夹—>工具栏—>工具—>文件夹选项,将 系统文件 隐藏文件 和 文件后缀名 设置为显示,
懒人请直接双击我给你的注册表文件就可以设置了
三、删除病毒
在分区盘上单击鼠标右键—>打开,看到每个盘跟目录下有 autorun.inf 和 tel.xls.exe 两个文件,将其删除。U盘同样,下面的系统里面有说U盘的,看完再说!
四、删除病毒的自动运行项
开始—>运行—>msconfig—>启动—>,删除类似sacksa.exe之类的不认识的项,保留项为[杀毒程序、ctfmon、摄像头、防火墙]
或者打开注册表 运行—>regedit
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
删除类似C:\WINDOWS\system32\SVOHOST.exe 的项
五、删除遗留文件
C:\WINDOWS\ 跟 C:\WINDOWS\system32\ 目录下删除
SVOHOST.exe[注意系统有一个类似文件,图标怪异的那个类似excel的图标的是病毒]
session.exe、sacaka.exe、SocksA.exe以及所有excel类似图标的文件,每个文件夹两个,不要误删哦,自己注意
重启电脑后,基本可以了。
------------------------------------------------------------------------
rose.exe
双击盘符无法打开,只能通过右键打开;几天之后删除系统NTDETECT.COM文件,系统无法启动。
传播途径:U盘、MP3、移动硬盘
检查方法:将文件夹选项--查看中的"隐藏受保护的操作系统文件(推荐)"前的勾去掉,并在此项下面选择“显示所有文件和文件夹”。然后打开任一盘符,如果发现有“rose.exe”和“AUTORUN.INF”文件,则已中毒。
解决方法:
手动:
结束rose.exe进程,然后删掉以下文件:各个盘符下的autorun.inf和rose.exe文件(包括自己的U盘等),c:\windows\system32\run.reg,c:\windows\system32\systemdate.ini(里面记录着删掉NTDETECT.COM文件的时间),d:\systemfile.com文件;最后将注册表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面的dll键值删掉,然后重启即可。
posted on 2007-01-29 20:12
forrest 阅读(5929)
评论(2) 编辑 收藏 引用 所属分类:
windows