posts - 58,  comments - 8,  trackbacks - 0

今天再也忍受不了sofa那个流氓软件。
sofa不但是浏览器的一个流氓插件,而且伴随有木马渗入,即使你把系统盘格式化重装,你的其他盘里有被感染的病毒(我中的是右键auto病毒)只要打开磁盘,病毒自动执行脚本,定时下载流氓插件,于是你刚装好的系统
又被感染了。
特征:
系统进程里有比较特殊的进程,且运行在window文件夹里的木马程序
system32里有文件名为shell脚本文件
其他盘内可能有类似的被主木马复制的脚本
注册表内的我就根据以下网上查的资料删了:
(以下为本人摘录)
盘符右键第一个是auto/autorun,这种症状的病毒挺多,这是其中一种,病毒是tel.xls.exe   W32/Generic.d   rose.exe。更改显示文件后,又恢复了隐藏属性

推荐方法:安全模式,橙色八月专杀

手动清除方法:

病毒名字类似,症状如下:
无非显示隐藏文件、系统变慢、CPU经常100%、打开硬盘分区时提示用什么程序打开、硬盘分区右键有Auto字样 soso.....]

!!!注意!!! 在以下整个过程中不要双击硬盘分区,需要打开时用鼠标 右键—>打开

一、关闭病毒进程
    Ctrl + Alt + Del 任务管理器,在应用程序里面查找类似kill等你不认识 [任务栏不显示] 的任务,右键—>转到进程,找到类似 [SVOHOST.exe](但不是SVCHOST,相差一个字母)的进程,右键—>结束进程树
!!!补充!!!也可能就是svchost.exe,但是是C:\windows\svchost.exe而不是c:\windows\system32\svchost.exe,

二、显示出被隐藏的系统文件
   开始—>运行—>regedit

HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,将CheckedValue键值修改为1

   这里要注意,病毒会把本来有效的 [DWORD] 值CheckedValue删除掉,新建了一个无效的字符串值 [REG_SZ] CheckedValue,并且把键值改为0!我们将这个改为1是毫无作用的。(有部分病毒变种会直接把这个CheckedValue给删掉,只需和下面一样,自己再重新建一个就可以了)

   方法:删除此CheckedValue键值,单击右键 新建—>Dword值—>命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。
   在文件夹—>工具栏—>工具—>文件夹选项,将 系统文件 隐藏文件 和 文件后缀名 设置为显示,
   懒人请直接双击我给你的注册表文件就可以设置了

三、删除病毒
   在分区盘上单击鼠标右键—>打开,看到每个盘跟目录下有 autorun.inf 和 tel.xls.exe 两个文件,将其删除。U盘同样,下面的系统里面有说U盘的,看完再说!

四、删除病毒的自动运行项
   开始—>运行—>msconfig—>启动—>,删除类似sacksa.exe之类的不认识的项,保留项为[杀毒程序、ctfmon、摄像头、防火墙]
  
   或者打开注册表 运行—>regedit
   HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
   删除类似C:\WINDOWS\system32\SVOHOST.exe 的项

五、删除遗留文件
   C:\WINDOWS\ 跟 C:\WINDOWS\system32\ 目录下删除
SVOHOST.exe[注意系统有一个类似文件,图标怪异的那个类似excel的图标的是病毒]
session.exe、sacaka.exe、SocksA.exe以及所有excel类似图标的文件,每个文件夹两个,不要误删哦,自己注意

重启电脑后,基本可以了。

------------------------------------------------------------------------

rose.exe

双击盘符无法打开,只能通过右键打开;几天之后删除系统NTDETECT.COM文件,系统无法启动。
传播途径:U盘、MP3、移动硬盘
检查方法:将文件夹选项--查看中的"隐藏受保护的操作系统文件(推荐)"前的勾去掉,并在此项下面选择“显示所有文件和文件夹”。然后打开任一盘符,如果发现有“rose.exe”和“AUTORUN.INF”文件,则已中毒。
解决方法:
手动:
结束rose.exe进程,然后删掉以下文件:各个盘符下的autorun.inf和rose.exe文件(包括自己的U盘等),c:\windows\system32\run.reg,c:\windows\system32\systemdate.ini(里面记录着删掉NTDETECT.COM文件的时间),d:\systemfile.com文件;最后将注册表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面的dll键值删掉,然后重启即可。


posted on 2007-01-29 20:12 forrest 阅读(5929) 评论(2)  编辑 收藏 引用 所属分类: windows

FeedBack:
# re: 盘符右键auto病毒查杀
2007-08-20 12:00 |
我的c d e右键打开是分别是auto dos 搜索等盘符。请问该怎么办,现在我用你说的试试  回复  更多评论
  
# re: 盘符右键auto病毒查杀
2007-08-20 12:30 |


我的c d e右键打开是分别是auto dos在这里 搜索等盘符  回复  更多评论
  
只有注册用户登录后才能发表评论。
<2006年9月>
272829303112
3456789
10111213141516
17181920212223
24252627282930
1234567

常用链接

留言簿(5)

随笔分类(59)

随笔档案(58)

文章分类(41)

文章档案(52)

相册

收藏夹

postfix

windows 系统

编程

  • how to be a programmer
  • 写给想当程序员的朋友
  • 谨以此文献给所有想当程序员的朋友 (一) 文章由来及个人经历 我是一名计算机专业的本科毕业生,毕业已经1年多了。毕业后从事的是软件编程工作,经常有其他专业的朋友想从事软件编程工作,向我请教如何,因为我自觉涉行不深,不敢信口开河,无奈朋友信任,我不得不郑重考虑一下这个问题了,来帮助朋友选择和回报朋友的信任。

搜索

  •  

最新评论

阅读排行榜

评论排行榜