| 捷님의 프로필Mr Muscle사진블로그리스트 |  도구  도움말 |
|
Mr Muscle1월 19일 Rose病毒Rose病毒
『病毒症状』(1)双击盘符无法打开,只能通过右键打开
(2)几天之后删除系统NTDETECT.COM文件,系统无法启动
『传播途径』U盘、MP3、移动硬盘 『释放文件』C:\WINDOWS\BACKINF.TAB
C:\WINDOWS\Session.exe
C:\WINDOWS\svchost.exe C:\WINDOWS\system32\FileKan.exe C:\WINDOWS\system32\SocksA.exe C:\WINDOWS\ufdata2000.log 『检查方法』将文件夹选项--查看中的“隐藏受保护的操作系统文件(推荐)”前的勾去掉,并在此项下面选择“显示所有文件和文件夹”。然后打开任一盘符,如果发现有“rose.exe”和“AUTORUN.INF”文件,则已中毒。 『解决方法』
1.手动
(1)结束rose.exe进程,然后删掉以下文件:各个盘符下的autorun.inf和rose.exe文件(包括自己的U盘等)。 (2)c:\windows\system32\run.reg,c:\windows\system32\systemdate.ini(里面记录着删掉NTDETECT.COM文件的时间),d:\systemfile.com文件。
(3)最后将注册表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面的dll键值删掉,然后重启即可。
2.自动
(1)ROSE.EXE 病毒专杀工具:http://www.fbd.com.cn/Html/Download/AntiVirus_Software/VirusTool/20060521155728407.html
(2)执行“杀rose病毒.bat”,然后重启即可。 (3)病毒在分区里建了一个autorun.inf文件,它的属性是隐藏、只读、存档性质的,解决方法如下:
a.开始-运行,输入 cmd 进入控制台。
b.输入 dir/a显示所有文件,能发现有个autorun.inf文件。
c.更改autorun.inf 文件的属性:attrib autorun.inf -r -s -h,去除他的只读、隐藏、存档属性,就可以删除此文件了。
d.输入:del autorun.inf,即可删除此文件。
3.注册表法:
(1)将注册表中HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints\C\Shell 项删除。 (2)在“文件夹选项”中设置显示所有文件,然后将所有驱动根目录中的Autorun.inf文件删除即可。 (3)安全模式下再查杀一遍。 wsctf.exe和EXPLORER.EXE病毒wsctf.exe和EXPLORER.EXE病毒
『症状』(1)不能玩魔兽和CS等游戏 (2)开机后会自动弹出“我的文档”
『病毒名称』wsctf.exe;EXPLORER.EXE(卡巴斯基查出的名称:virus.win32.VB.bu)
『解决办法』
(1)按"Ctrl+Alt+Del"调出Windows任务管理器,结束掉wsctf.exe和EXPLORER.EXE进程,其中EXPLORER.EXE进程有两个,一个是系统的,一个是病毒的,系统的所在位置是"C:\WINDOWS”,病毒的所在位置是"C:\WINDOWS\system32",只需结束掉病毒的进程就行了。若不能区别两个进程,可以把两个进程都结束掉,然后再切换到——应用程序——新任务——浏览——选择"C:\WINDOWS"文件夹下的explorer.exe,然后打开、确定就可以重新启动系统的EXPLORER.EXE进程了。
(2)进入"C:\WINDOWS\system32"——工具——文件夹选项——查看——去掉“隐藏受保护的操作系统文件”前面的勾,在弹出的对话框中按“是”,然后再选择“显示所有文件和文件夹”——确定——删除掉文件夹里面的wsctf.exe和EXPLORER.EXE两个文件——按刚才的操作,重新隐藏系统文件。
(3)开始——运行——输入regedit,按确定后打开注册表,进入HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run目录,右键删除掉wsctf.exe和EXPLORER.EXE两条记录。
(4)进入HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, 可以看到项Userinit,其内容为userinit.exe,EXPLORER.EXE,双击Userinit将中间的逗号和EXPLORER.EXE删除——确定。
(5)Everything is OK. 愿愿 愿风别像今夜那样咆哮 愿雨别像今夜那样狂乱 愿风吹走你所有的烦恼 愿雨带走你一切的忧愁 愿所有随风而去 愿一切随雨而逝 愿今夜别再如此遥迢 愿明天的你为彩虹点缀微笑 |
|
||||
|
|
