|
作者: rovecat [rovecat] 版主 | 登录 |
这段时间有一种很有代表性的病毒,在俺许多客户的机器上都存在,现在朋友们可以打开自己的C:\windows下把隐藏文件打开,有以下其中一个文件就说明中了病毒:1.com winlogon.exe lsass.exe svchost.exe sv0host.exe carss.exe taskman.com等等(这里强调一下,在这个文件夹下正常的话只有explorer.exe hh.exe NOTEPAD.EXE regedit.exe twunk_16.exe twunk_32.exe winhelp.exe winhlp32.exe和一个可有可无的SOUNDMAN.EXE,其它的都有可能是病毒文件,当然有些程序或驱动程序会在这儿放一些文件,要靠自己识别了。)当有这些病毒文件时,系统一般会变地很慢,网络很不稳定,有进会蓝屏,exe文件双击就提示打开方式,IE被删等等,俺现在把这几天自己的一点方法简单说一下: 首先到安全模式下把开机选项和非系统服务关掉,这是最基本的,再打开“任务管理器”,把不熟悉的进程结束掉(最好能把这些进程名字记下来,后用),然后到C:下把所有的显示为.com文件图标的文件全删掉,然后到C:\windows\下把上面提到的病毒文件(当然也会有别的病毒文件)删掉。 打开注册表文件,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run这个键下的程序除ctfmon.exe外全删掉,然后再全面搜索注册表,把你的机器里出现过的病毒文件和进程文件逐一找出来,全删掉,这里一定要注意当搜索像svchost.exe文件时,因为系统内有同名的重要文件,所以不能全删,一个小窍门就是在注册表编辑器左面搜索到的都不要删,还有在c:\windows\system32\下的不要删。这些工作做完后一般就可以清理干净了。 如果碰到exe文件打不开,可以先把c:\windows\system32\cmd.exe复制到桌面上,把exe改为com,再执行assoc .exe=exefile (assoc与.exe之间有空格) ftype exefile="%1" %* 以上都是假设系统盘为C盘。有不同意见的朋友可以跟贴讨论。 [此贴被 流浪猫猫(rovecat) 在 08月29日18时18分 编辑过] |
地主 发表时间: 06-08-29 18:16 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号