爱心论坛互帮互助电脑应用 → [推荐]追捕能毁灭安全模式的“玉兔”病毒

分享到:

  共有3248人关注过本帖树形打印复制链接

主题:[推荐]追捕能毁灭安全模式的“玉兔”病毒

帅哥哟,离线,有人找我吗?
小猴乖乖
  1楼 | QQ | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信 等级:小飞侠 帖子:1750 精华:30 积分:16454 金钱:27454 金币:0 魅力:9296 威望:0 登陆:335 注册:2007/4/5 13:51:22 近访:2010/8/25 14:55:41 在线:在线0天0小时0分钟.
离升级差0天20小时0分钟.
目前等级0
[推荐]追捕能毁灭安全模式的“玉兔”病毒  发帖心情 Post By:2007/6/1 12:48:03 [只看该作者]

贴子已被锁定

  玉兔病毒档案

  玉兔病毒会试图破坏安全模式,使用户无法进入该模式杀毒。玉兔病毒在每个盘符生成病毒文件和Autorun.inf文件,只要双击盘符就可以进行感染。玉兔病毒会结束安全软件及其他一些常用的安全辅助工具。玉兔病毒还修改注册表导致用户无法正常查看隐藏的系统文件,从而达到不被查杀的目的。

图片点击可在新窗口打开查看

  巧避锋芒清除病毒

  首先,要清除盘符里的病毒文件和Autorun.inf文件,以防止病毒继续扩散。因为病毒的原因,我们不能够正常进入注册表和使用冰刃检查系统。但是我们可以使用超级巡警绿色版本,因为病毒并不能关闭超级巡警。

  进入“进程管理”选项,很快发现bryato.exe、severe.exe、loveRabbit.exe等3个可疑的病毒进程。其中bryato.exe是盗取QQ密码的木马,而另外两个是玉兔病毒的进程。这三个进程都插入了bryato.dll运行。

  由于病毒进程具有关闭后马上重启动的特点,首先选中三个进程,然后右键单击三个进程选择“禁止进程创建”命令,接着右键单击三个进程选择“强制卸载标记模块”命令(图2),这样便暂时终止了这几个进程。

图片点击可在新窗口打开查看

  进入“启动管理→注册表”选项,很快发现了bryato.exe和severe.exe的非法启动项目(图3),右键单击这两个启动项目选择“删除启动项”命令予以清除。

图片点击可在新窗口打开查看

  揪出系统深处的病毒

  此时,病毒还潜伏在系统深处,还需要我们进一步清理。进入“进程管理”,仔细分析一些系统进程,根据文件创建和其他信息马上发现了Winlogon.exe系统进程被插入了msexch400.dll这个病毒文件,记下文件位置,接着选中该文件后右键单击选择“强制卸载标记模块”命令(图4)终止病毒进程。

图片点击可在新窗口打开查看 图片点击可在新窗口打开查看

  在conime.exe进程发现被插入了bryato.dll,选中该文件后右键单击选择“强制卸载标记模块”命令终止病毒进程。接着重新启动计算机,删除记下的病毒文件。

  再次重新启动计算机,此时已经可以进入注册表编辑器,进入HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL子项,发现右侧的ChekedValue键值为1,当然无法显示隐藏的病毒文件了,修改为0。

  之后便可以显示隐藏的病毒文件了,最后删除导致无法双击打开盘符的Autorun.inf文件以及相关的OSO.exe即可


 回到顶部