- 威望
- 8078
- 在线时间
- 375 小时
- 金币
- 5194
- 贡献
- 0
- 存款
- 0
- 最后登录
- 2012-10-19
- 注册时间
- 2008-5-3
- 帖子
- 2603
- 精华
- 3
- 积分
- 11233
- 阅读权限
- 100
- UID
- 800
 
- 威望
- 8078
- 在线时间
- 375 小时
- 金币
- 5194
- 贡献
- 0
- 存款
- 0
- 最后登录
- 2012-10-19
- 注册时间
- 2008-5-3
- 帖子
- 2603
- 精华
- 3
- 积分
- 11233
- 阅读权限
- 100
- UID
- 800
|
temp1.exe、temp2.exe是一种病毒,它将会在Windows目录下生成一个“3k.exe”后门特洛伊(检测到的名称为Backdoor/Psychware.G.Server),它会从Internet上下载并执行一个“Teen.exe”的文件,这将激活另一个Win32/Shaz.A病毒,而一旦Shaz.A被运行,它将在<系统安装盘符>:\Windows\Fonts\Font:目录下自动生成十二个文件:Igmp.exe、info.vbs、mirc.ini、mirc2.ini、pepsi.exe、pri.ini、re.exe、remote.ini、startup.vbs、temp2.exe、YoMama.txt、temp.exe。还可能导致系统错误汇报,或者不断重起。
7 b0 v. ?1 Z4 ], y目前大多数杀毒厂商已经支持查杀该病毒但不彻底 ( b+ w" g& i4 [1 c0 B, I
手动操作:
1 w6 O, H* C2 B$ I: B6 w1、重启F8进入安全模式;
* J2 x9 p# U' O1 I8 g5 y& f/ ?2、按Ctrl+Alt+Del,调出任务管理器,结束temp1和temp2进程(若没找到可以跳过这一项);
# V7 d1 m# D) p* A' c3、在工具—〉文件夹选项—〉查看,去掉“隐藏受保护系统文件”和选取“显示所有文件”应用; 6 M4 t) I) Q8 R; W, x
4、点击右键选择打开进入所有硬盘盘符,删掉“autorun.inf,copy.exe,host.exe三个文件”;
, }1 e6 ?! i' a+ |. w) i5、进入 <系统安装盘符>:\Windows,删掉xcopy.exe和svchost.exe,转到<系统安装盘符>:\Windows\Fonts\Font目录下,删除Igmp.exe、info.vbs、mirc.ini、mirc2.ini、pepsi.exe、pri.ini、re.exe、remote.ini、startup.vbs、temp2.exe、YoMama.txt、temp.exe
+ J, h' D, I2 W, G* ^/ i" G2 |6、进入<系统安装盘符>:\Windows\System32,删除temp1.exe和temp2.exe;
" r: v$ w8 T$ }0 z* W7、点击“开始”—〉“运行”,输入“regedit”执行,打开注册表编辑器,进入“HKEY_CURRENT_USER\Software\Micosoft\Windows NT\Current Version\Windows”,删除Load字符串值,或打开清空里面的内容“<系统安装盘符>:\Windows\svchost.exe”。 6 |$ I s! O! v9 r0 T6 n
清理完后可以把文件夹选项的相关内容改回来。 & K r% v/ S5 @7 j+ Y1 d/ O) M3 [" J
7 ]7 U. i1 t$ f7 j- O- R' g
值得注意的是,病毒主要的感染方式为Xp特有的自动播放功能,绝大多数是插U盘感染的。因此,对防护要求较高的同学可以屏蔽这一项,具体方式为:
. a7 O& E3 D9 R8 h9 _% m( T# x& `) g# X3 `
点击开始——运行,输入“gpedit.msc”,打开组策略管理器,进入计算机配置——管理模板——系统,把“关闭自动播放”启用。 |
|
发表于 2008-7-27 02:06:24
分享
收藏