|
|
发表于 2006-10-12 23:09:07
|
显示全部楼层
那是U盘病毒,我刚中过,不过现在好了
病毒名: vrius.win32.perlovga.a(卡巴)
病毒特征:在U盘中生成copy.exe,host.exe,toy.exe,Autorun.inf文件,都是隐藏加系统的属性.
病毒表现:将U盘与电脑相连后,双击进入U盘时会激活病毒,会在系统各个盘符的根目录下生成copy.exe,host.exe,toy.exe,Autorun.inf四个隐藏文件,并且会在系统的c:\windows\system32和c:\windows目录下生成temp2.exe, svchost.exe 文件,此时会发现每个盘都变成自动播放,在系统中产生进程temp2.exe和svchost.exe(迷惑性很强).其中temp2.exe是病毒的传播进程,而svchost.exe是病毒所带的木马程序,负责网络通信,每当有新的U盘插入,temp2.exe就会检查并复制copy.exe,host.exe,toy.exe,Autorun.inf四个文件到U盘上,并且如果任一盘符根目录下的copy.exe host.exe, toy.exe, Autorun.inf文件被删除,temp2.exe会自动再次复制此四个文件到该盘符下.
病毒后遗症:用杀毒软件杀毒后,会出现无法打开盘符的提示,包括U盘.提示系统文件丢失等.
二病毒清除
首先调出任务管理器,结束掉temp2.exe进程和以当前用户名运行的svchost.exe进程(此处注意,必须是当前用户名运行的svchost.exe进程,用户名为system的是系统进程,结束掉这个进程很容易造成系统重启,建议到安全模式下杀毒).
接下来开始干掉病毒的主要文件:
先在文件菜单的工具的文件夹选型中的查看选项中将显示所有文件选上,取消隐藏受保护的系统文件选项,确定后以资源管理器的方式打开C盘,到相应目录下删除temp2.exe和svchost.exe文件,在根目录下删除掉copy.exe, host.exe, toy.exe, Autorun.inf文件,依次在资源管理器中打开其他盘,删除掉以上几个文件(在删除过程中,如果提示文件在使用或者磁盘保护无法删除提示之类的,记得调出任务管理器,干掉前面提到的temp2.exe进程,如果在安全模式下可能不会出现这样的问题).
当然以上的清除过程也可以交给杀毒软件来完成,目前各大杀毒软件都能查杀,下面重点讲下如何避免杀毒后打不开硬盘和U盘的问题,主要是杀毒软件不会杀掉文件Autorun.inf文件和没有修复注册表带来的问题.
如果是按上面手工删除的方法,可以直接开始修复注册表的步骤,如果是用杀毒软件查杀的,按手工的方法先将每个盘符下的Autorun.inf文件删除,如果害怕删错,可以用记事本先打开看看,如果看到如下字样,表示是病毒文件:
[autorun]
Shellexecute=copy.exe
下面开始修复注册表:
找到如下键值:
HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Explorer\MountPoints2
依次查看下面每个子项,特别注意shell项下面,如果看见有Autorun项的,看有没有command项的,如果有,删除之(可以根容易的发现它对应当数据内容为copy.exe等).记得这里一定要将这个键值下的所有子项都仔细检查一遍,清除干净,完成后按F5刷新几次注册表,呵呵,清除完毕,看看硬盘,完全恢复正常. |
|
IP卡
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡