近期常见病毒查杀方法
1.不能复制粘贴,word文档变成exe文件
查杀方法:
1、结束任务管理器中的EXPLORER.exe,
2、搜索EXPLORER.exe,或者打开c:/winnt(windows)/sysytem32/
3、找到word图标的EXPLORER.exe,删除掉
4、搜索注册表:开始/运行:regedit
查找:explorer,删除键值是C:\WINNT\system32\EXPLORER.exe(在hkcu/soft
ware/microsoft/windows/current version/run里面)
5、检查一下word是不是可以粘贴和复制啦
ps:1、运行第二步时可以打开文件夹选项,使系统显示隐藏文件和扩展名,
注意不要删除错了!
2、移动存储设备注意写保护
3. word文档都在打开方式里面选择用word打开,要是错误的把exe文件都设定
为word打开,运行cmd进入命令行模式,输入ftype exefile="%1" %* 恢复
文件关联.
防治方法:
移动存储设备打好写保护,特别是U盘
复旦校内的同学去复印小店要特别注意,那里是这个病毒的发源地
附:
如果运行文本文件的时候说windows找不到EXPLORER.exe,无法运行
到工具->文件夹选项->文件类型
找到.txt类型
修改打开文件为notepad.exe
2.W32.Setclo
1.关掉系统还原(xp/me系统)
2.更新病毒库(现在基本的杀毒软件都已经可以查到了)
3.重起进入安全模式、
4.启动杀毒软件全局扫描
5.后续清理工作
运行regedit进入注册表编辑器
删除以下键值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"svchost"="[Path to file]\SETUP.EXE"
关闭编辑器(编辑前请先备份,防止误操作)
(当然第五步也可以由msconfig里面删除对应启动项来完成)
6.如果是95/98/ME系统的话
运行--输入edit c:\autorun.inf
在文件[autorun]部分找到
open=setup.exe
删除之
保存.退出。
3.五一震荡波病毒,Worm.Sasser
现象:
1进程中出现 avserve.exe 和 *****_up.exe,占用大量资源
其中*****为从0~65535之间的随机数字
2出现LSA Shell错误;
3导致系统进程lsass.exe错误,并进而导致计算机强迫重启;
4有网友反馈计算机的管理员权限帐户口令被修改
查杀方法:
下载安装微软提供的系统补丁KB837001,KB828741,KB835732
http://securityresponse.symantec.com/avcenter/FxSasser.exe下载专杀工具安全模
式下扫描
预防:
及时windows update打好所有的系统补丁
4.lovgate
现象:
系统自动向外发送电子邮件
出现letter.rar、letter.zip、setup.rar、setup.zip、WORK.rar、WORK.zip、pass.ra
r等文件
查杀方法:
http://securityresponse.symantec.com/avcenter/FixLG.com 下载专杀,安全模式
下连续运行两次
预防:(**这个病毒的特点在于难防而不在于难杀**)
设置足够复杂的系统密码
取消共享目录
禁用guest用户
5.PWSteal.Lemir.Gen
最好不要使用norton,金山,McAfee7.1杀这类病毒
查杀方法:
1.升级病毒库
2.进入安全模式,alt+ctrl+del调出任务管理器,关闭一些陌生的进程(这一步是关键
如果没有关闭的话可能导致杀毒软件无法清除病毒)
3.使用杀毒软件全盘扫描电脑
6.win32.korgo.v
1.关闭系统还原
2.升级病毒库
3.安全模式下打开杀毒软件杀毒(或者直接运行专杀)
4.修改注册表
1)开始-运行-regedit+回车
2)找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
删除这个键值
"Cryptographic Service"="%System%\<随机字符〉.exe"
3)找到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wireless
删除这个键值
"Client"="1"
"ID" = "<随机字符>"
4)退出注册表编辑器
专杀:http://www.symantec.com/avcenter ... o.removal.tool.html
7.MSN病毒[funny]
在C盘根目录建立killme.cmd和stop.cmd两个空文件即可
你漏了一条,不完美了
清理host文件。
C:\WINDOWS\system32\drivers\etc\hosts
用写字板打开,只保留一行
127.0.0.1 localhost
或者自己添加常用的
还有注册表键值的关键字是 MMSystem
找到删除旧可以了
8.发现大量cmd进程/Hfind.exe/ntservice.exe/Bat.Mumu.A.Worm病毒
安全模式下更新病毒库(6月3日以后的)杀完毒删除病毒生成的文件,然后记得更
改用户密码,密码要足够复杂。
另外,删除病毒建立的账号(注意所有Administrators组的账号)。
也可以考虑用Symantec的这个专杀工具(把网址粘贴到地址栏的时候把两行合并成
一行):
http://securityresponse.symantec.com/avcenter/venc/data
/bat.mumu.a.worm.removal.tool.html
我们注意到这个病毒传播过程中可能被另一个病毒W32.Valla.2048感染了,而Valla
病毒是会感染所有exe文件的,所以这个病毒实际上起到了Valla的载体的作用。也
就是说用户一旦感染了被Valla感染的Mumu病毒的话,同时也就被Valla感染了。
所以我们建议杀完这个病毒后再用杀毒软件全面扫描一次,确定有无W32.Valla.204
8病毒存在。
中了W32.Valla.2048病毒可能出现提示:"Windows文件保护,正常运行Windows所需的
文件已被替换成无法识别的版本,要保持系统的稳定,Windows必须复原这些文件的原
有版本"
被感染的文件末尾包含如下字符:-= XOR 2009 Valhalla =- Assembled 1997 ..
Activated 07.2002 - devoted for peace and harmony in universe against war,
racism, terrorism and cruel brutality .. remember .. life is the most
important
thing - not money .. it's time for a revolution NOW ....
感染W32.Valla.2048病毒(又名Win32.xorala)的可以试试北信源提供的这个专杀
工具:http://www.vrv.com.cn/tools/killxorala.com
|