|
|
病毒文件:svchost.exe,与windows系统里的正常程序同名,但正常程序在c:\windows\system32里面,而病毒程序则在windows其他位置,风险程度在瑞星等杀毒软件中都显示:“高”,具体症状是:IE页面打开时弹出广告,查毒软件发现svchost.exe感染数项流氓或木马软件;系统速度变慢;甚至还修改查看-显示所有文件和文件夹,使其无法正常显示隐藏文件或文件夹。而且这个文件是无法正常删除的,甚至修改注册表也不行。安全方式下也不能删除(删除完,很快又再生!!!)
昨天晚上花了n个小时对付,最终发现关键在于感染了系统还原程序,在各个分区下产生两个隐藏文件:autorun.inf,RavMon.exe,这两个文件也是删除后又再生。
解决办法,先关闭系统还原监视,在IE里的Internet选项里选择删除所有临时文件和脱机文件,然后用进程管理器结束不正常的SVCHOST进程(注意,有5项svchost是系统正常进程,且用户名是system、network service、local service;但是如果发现某项svchost用户名是你的帐户名的话,那么肯定就是病毒了!)选择结束进程树!
接下来就是在注册表里查找删除可疑的svchost值,使用“查找”,凡是指向不是正常的c:\windows\system32\svchost.exe的都删除掉。
接下来,用专门的工具比如说windows清理助手等扫描清除。再用右键“打开”各个分区,删除里面的autorun.inf,RavMon.exe,最后用你的杀毒软件彻底查杀所有硬盘分区。注意:此病毒还有可能与c:\windows\MDM.exe关联,最好把此文件及其注册表相应值也删除掉。(MDM.exe也是系统文件,但不影响正常使用,而且在使用一些正常软件时会带入产生,所以可以删除掉。)
这样基本上就可以了。
唉,俺可是花了5、6个小时啊!!!才找到的有效办法!!!太可恶的病毒(主要是木马)!!!步骤是有点繁琐,但不用重装了!!!
PS:如果你的电脑已经感染此病毒的话,那么防病毒软件是检测不出来这个病毒的。只有按照上述办法操作后,防病毒软件才会有提示反映找出病毒或病毒残余文件!!!很可怕也很高明的病毒啊!!!(我的xp一直保持最新更新,而且Symantec antivirus 10.1.5.5000也是天天更新,但是还是中招!!!瑞星卡卡上网助手和windows清理助手也是保持更新,能够检测出来,但直接清除不了:提示需要重启清除,但重启以后,只要使用资源管理器就会再生!!!)
据传此病毒是台湾情报机构制作散布的,前些日子在军网已经很是泛滥,并引发几起严重泄密事件。希望大家注意啊!!!
[ 本帖最后由 cmd19764 于 2007-1-17 21:33 编辑 ] |
|
发表于 2007-1-17 12:36
楼主
发表于 2007-1-17 13:16
关于我们