[HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution OptionsMPSVC.exe]
[HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution OptionsMPSVC1.exe]
[HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution OptionsMPSVC2.exe]
清除完成!
Desktop.exe U盘病毒详细介绍
一、发现进程当中有wuauserv.exe这个进程
有这个进程的话,说明你的电脑中毒了,表现的方式就是无法显示计算机中隐藏的文件和文件夹。即使在文件夹选项中选择了“显示所有文件和文件夹”,确定后它又自动改回去了。并且感染病毒后,U盘里会带一个desktop.exe的病毒文件,有一个folder.exe文件,有可能还有desktop2.exe,都是隐藏的,有一些还伪装成受系统保护的文件。感染到电脑后会生成SVCHOST.EXE病毒母本。
手工删除它的方法如下:
1.打开任务管理器,把病毒进程wuauserv.exe关掉(这个进程在安全模式里也能被病毒启动)。
2.打开注册表编辑器(在开始->运行中输入regedit),找到
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL],把"CheckedValue"的健值改为1,类型为dword。
修改注册表,解除“不显示系统文件和隐藏文件”的问题。
再找到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon],把"Userinit"这个键的键值改为"userinit.exe,"(带逗号的)。
3.然后打开“文件夹选项”->“查看”,把“隐藏受保护的操作系统文件”的勾去掉,把“显示所有文件和文件夹”选上,确定。
4.进入c:\windows\system32\目录,按照文件类型排序,找到wuauserv.exe文件,删除。在目录最底下会发现有两个注册表文件,分别是boothide.reg和bootrun.reg,删除它们(不要管弹出的警告)。
5.最后的一步需要删除一个svchost.exe文件。先打开任务管理器,可以看到里面有多个SVCHOST.EXE进程,大部分都是全部大写的字母,其中有一个是写成小写的svchost.exe,这个就是病毒的进程。如果你使用的是XP的SP2系统,在进程上点右键,选择"打开所在目录",就可以打开这个进程所在的目录,是在c:\windows\system32\svchost\目录里。先把这个小写的svchost.exe进程停止掉,再把这个目录整个删除掉,就OK了。
(如果是在system32文件夹下,就是正常文件,如果是在上述文件夹下,就是病毒。)
6.重启后进入系统,打开任务管理器发现病毒进程没了。文件夹选项也没被改,查看病毒文件也没了。至此终于可以正常随意地显示隐藏文件了。
7.中毒的U盘里会带有desktop.exe这个病毒文件,有folder.exe文件,有的还有desktop2.exe文件,只有在显示受保护的系统文件的情况下才能看到,删除时会有警告,不用管他。还有其他一些隐藏文件如autorun.inf,不管他,都删了。在删除电脑里的病毒时别忘了把自己U盘插上,把病毒也清了,觉得麻烦就格式化好了。在别人的电脑里使用U盘时先确定该电脑里的进程里有没有wuauserv.exe,免得再次中招。
二、病毒感染保护机制分析
1.用IceSworld 尝试删除c:\windows\system32\svchost\svchost.exe文件,发现删除后过一会儿该文件能重新生成。
2.用process Monitor 1.0 监视 path内容包含svchost.exe的注册表/文件/进程活动发现在svchost.exe被删时,系统会自动添加U盘下的desktop.exe进程,desktop.exe活动后会重新创建生成svchost.exe病毒文件。可见desktop.exe是保护svchost.exe病毒的幕后黑手!更为狡猾的是desktop.exe在生成svchost.exe病毒文件后就会自动关闭,很难察觉。
3.用IceSworld 查看U盘下的隐藏文件,发现U盘下不仅有desktop.exe,还有folder.exe,desktop2.exe,autorun.inf文件删除U盘下这几个文件。再删除c:\windows\system32\svchost\svchost.exe文件,svchost.exe病毒文件就没有再生成。
4.wuauserv.exe进程在安全模式下也会启动,wuauserv.exe进程活动时,如果svchost.exe病毒文件也没有清除,即使U盘格式化也无济于事:可能wuauserv.exe和svchost.exe文件能反过来生成U盘下的病毒文件。
5.process Monitor 监视可以发现注册表以下被添加/改动,按照以下方法改回去即可:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL],把"CheckedValue"的健值改为1,类型为word。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon],把"Userinit"这个键的键值改为"userinit.exe,"(带逗号的)。
wscript.exe U盘病毒详细介绍
计算机安全资讯网截获一个以移动存储介质传播,修改网页文件的“U盘病毒”。
之所以在“U盘病毒”上加引号,是因为它似乎是一个纯粹“概念性”的恶意文件,与一般U盘病毒的木马、后门特性不同,此病毒不具有泄露用户隐私数据的企图和作用。更重要的是,其主体为一个vbs文件,作者通过它,又向我们展示了.vbs文件的“强大威力”。
病毒复制自身到
上一篇:在Windows XP环境下重新安装IE的技巧
下一篇:感悟:百度(baidu)给你一个努力的平台
|
精品推荐