详解U盘病毒黑名单上的四类病毒
U盘病毒随着U盘的诞生而发展起来,被感染到轻则给你U盘文件捣乱,重则破坏你U盘的数据。U盘病毒专家经过研究后总结了四类上黑名单的U盘病毒,并总结出查杀方案。我们来看看吧。
黑名单一:autorun.inf+sxs.exe+svohost.exe(与svchost.exe很像吧)。这是目前我所了解的最新的U盘病毒,是 修改过的ROSE病毒,其主要的作用还是在于影响网络连接的速度。但想要删除它笔者认为比较好的办法是进入安全模式进行操作,至少我是这么做的。如果你发现自己的电脑硬盘每个上都多了这么几个文件。别急,首先确保自己断开了网络连接,同时拔下U盘(如果还插着的话)。
重新启动电脑,在重新启动的时候,一直 按住F8,即进入安全模式。进入后同时按下Ctrl+Shift+Esc三个键,打开windows任务管理器。选择里面的“进程”标签,在“映像名称” 下查找“sxs.exe”和“svohost.exe”单击它而后选择“结束进程”,关闭任务管理器。打开我的电脑,单击工具菜单下的“文件夹选项”在 “查看”标签中把“高级设置”中的“隐藏受保护的操作系统文件(推荐)”前面的勾取消与此同时选择下面的“显示所有文件和文件夹”选项。选择确定。用鼠标 右键每个盘符(不要单击每个盘符),删除每个盘下的“autorun.inf”文件 和“sxs.exe”文件。
到此为止,完成了第一步。接下来,单击开始,选择“运行”输入“regedit”(即注册表编辑器,注吴引号),确定。而后依 次展开我的电脑>HKEY_LOCAL_MACHINE> SOFTWARE>Microsoft >Windows> CurrentVersion
Run删除Run项中的ROSE( c:\windows\system32\SXS.exe)这个项目,为使彻底可以按下F3通过查找与病毒有关的文件:sxs.exe, svohost.exe,autorun.inf而后删除有关项即可,重新启动电脑,到此计算机上的病毒已经删除。那么如何删除U盘上的病毒呢?按住 shift键不放,插入U盘,直到电脑提示“新硬件可以使用” 而后右击U盘盘符选择“打开”(同样不要点自动播放或者是双击,切记啊,否则上面作的工作就白费了)删除sxs.exe和autorun.inf文件,至 此杀毒过程全部完成。
黑名单二:doc.exe。U盘插入后其症状表现为被写入win32.exe,win33.exe以及很多.exe的 病毒文件,以相似图标冒充mp3和doc文档;用任务管理器打开察看,有名为doc.exe的进程在此活动。其基本杀毒方式与黑名单一的方法相似,首先在 U盘没有插入的情况下打开任务管理器将DOC.exe的进程结束,而后在C盘查找文件doc.exe, doc1.exe ,如果系统是XP则需要在高级选项中选中查找隐藏文件,找到后删除。 优盘之家
打开资源管理器(在开始菜单上右击),找到文件夹c:\Documents and settings\All Users\[开始]菜单\程序\启动将其中的Windows word这个文件删掉(现在看不到它的扩展名,其实它的扩展名是. exe)。运行regedit找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run删除相应的键值。但与黑名单不同的是,感染doc.exe后还会留下一些后遗症:经该病毒感染后,系统无法显示隐藏 文件或隐藏的系统文件以及文件的扩展名,即使在文件夹选项中进行修改也没用,笔者就尝试过,这时就需要我们手工去修改注册表才能解决这个问题。进入regedit将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\Advanced\Folder\Hidden\SHOWALL中的CheckedValue的值改为1,即显示所有文件和文 件夹;将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\Advanced\Folder\HiddenFileExt中的CheckedValue的值改为0,即取消“隐藏已知文件的扩展名”。本地杀毒完毕。U盘的杀毒方式与黑名单一基本相同。 优盘之家
黑名单三:autorun.inf+msvcr71.dll+RavMonE.exe+RavMonLog。同样当用户双击U盘盘符会激活 autorun.inf从而自动加载RavMonE.exe或RavMon.exe(这里的RavMon.exe可能是RavMonE.exe的变种,企 图冒充瑞星杀毒软件的正常文件RavMon.exe和RavMonD.exe)。其杀毒过程基本相似:打开任务管理器(ctrl+alt+del或者任务 栏右键点击也可),终止所有ravmone.exe的进程,进入c:\windows,删除其中的ravmone.exe,在运行中输入regedit依 次展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\,找到相 应的键值c:\windows\ravmone.exe将其删除。如果想要确保病毒的残遗物的清除,可以在注册表中查找相应的关键字,逐一删除(切忌,修 改注册表时请先备份)。也可在运行中输入msconfig在“启动”标签中删除相应的启动项。
黑名单四:desktop.exe+ desktop2.exe+autorun.inf。可能还会有其他一些文件,这些文件都是隐藏的。笔者曾感染过,相当可恨!!感染该病毒后的主要症状是打 开文件夹选项,把显示所有文件选中,再点确定那个单选框是选中了显示所有文件,然而隐藏文件却没有出现,再次打开文件夹选项,显示的还是不显示隐藏文件及 文件夹。该病毒感染到电脑后会生成SVCHOST.EXE病毒母本。常用的杀软件对这个病毒基本没有多大反应。看来又只好手动杀毒了。
首先打开任务管理 器,把病毒进程wuauserv.exe关掉(这个进程在安全模式里也能被病毒启动)。而后在运行中输入regedit,即进入注册表编辑器,这一步上面 已经讲得很详细了。找到[HKEY_LOCAL_MAC HINE\SOFTWARE\Microsoft\Windows\ CurrentVersionExplorer\Advanced\Folder\Hidden\SHOWALL] 把“CheckedValue”的健值改为1,类型为dword。再找到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNTCurrentVersion\Winlogon] 把“Userinit”这个键的键值改为“userinit.exe,”(注意别忘了带逗号)。然后“打开文件夹选项”->“查看”->把 “隐藏受保护的操作系统文件”的勾去掉->“显示所有文件和文件夹”选上->确定。这次OK了。
下面开始切入正题:进入c:\windows \system32\目录。按类型排列图标(这样好找)。找到wuauserv.exe文件,删除。在目录最底下会有两个注册表文件,分别是 boothide.reg和bootrun.reg,删除(不要管弹出的警告,那纯粹是吓唬人的)。最后得用到一个小工具killbox。因为还有一个病 毒名为svchost.exe(和系统的svchost进程一样,只不过是保存的路径不同而已)藏在c:\windows\system32\ svchost\目录里。
这个文件笔者在多种情况下都不能解决(包括安全模式)。Killbox能强行删除各种文件。打开此软件,在预览处找到c:\ windows\system32\svchost\svchost.exe这个文件,点删除。会弹出一个对话框提示你要不要备份要删除的文件,点“是” (不点是就没反应)。而后会弹出一个警告倒计时在六十秒后关机,同时弹出一个删除成功的提示。六十秒后机器会重启。待机器重启后,使用完killbox, 会在系统盘的根目录下(如果你的系统装在C盘,那么就在C盘下)会生成一个文件夹名的第一个字符为“!”的文件夹,别忘了把它也删除了。至此,整个杀毒过 程才算完成。以后插U盘的时候别忘了打开任务管理器,查查有什么可以的进程呦!!
如果我们不幸感染了这U盘病毒黑名单上的四类病毒,本文的解决方案将直到你如何查杀这些病毒。虽然病毒运作的原理比较深奥,但了解这一些将帮助我们在以后使用中预防U盘病毒感染。
详解U盘病毒黑名单上的四类病毒:http://www.upan.cc/technology/use/7535.html
