|
|
状况:
进程发现tfidma.exe,severe.exe都位于system32下
禁止瑞星反病毒
修改系统时间到2004年
禁止运行注册表
结束进程后继续运行
这种病毒很厉害,当它存在于进程中的时候,它将关闭瑞星等各类杀毒软件,还使得一些正常的
系统优化软件不能正常运行,如冰刃等。如果你不断的用任务管理器关闭它,它将每一秒启动一次
自己,让你的系统资源耗尽,最后死机。
手动删除法:
在system32中找到regedit.EXE,然后改名字为 regedit-1.EXE或其他名字,然后运行
regedit-1.EXE,可以进入注册表 ,然后再windows\current version\run 中找到病毒的位置,
将去掉 阿,然后再到各个盘中去删除以上所说的各个病毒。
如果不能显示隐藏文件,那么可以到注册表中把健值 改过来,把注册表里的HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\
Hidden\SHOWALL 下 CheckedValue这个值给改了 应该为1
CheckedValue应该为双字节值,中毒以后会被改掉,所以你只要把这个删了重行建一个双字节的
CheckedValue,把值改为1就OK。然后注册表表中360卫士.exe的名字改一下,再到安装目录
中运行改名后的360卫士,就可以搞定了阿。
杀毒软件和一些安全工具不能运行其实是给映像劫持了,运行杀毒软件和安全工具其实是运行病毒文件C:\WINDOWS\system32\tfidma.exe。像KAP,瑞星,360,冰刃都在劫持之列。但可以用Autoruns把劫持的项删除了,再运行杀毒软件就行(还不运行就进安全模式运行)。不过最好先把系统日期改回来,把杀毒软件升级到最新。我是用卡巴的,最新的卡巴能够完全消灭病毒!杀毒软件的升级程序也被劫持,所以也要用Autoruns把劫持的项删除了。杀完把注册表启动项清理下就OK了。。
(二)重新启动,然后在开机是进入DOS,可以用光盘或者虚拟软盘引导,然后输入命令
cd c:\windows或winnt\system32 进入到c盘的系统目录
attrib -s -h c:\windows\system32\tfidma.exe 把tfidma.exe的系统和隐藏属性去
掉
attrib -s -h c:\windows\system32\severe.exe 把severe.exe的系统和隐藏属性去
掉
del c:\windows\system32\tfidma.exe
del c:\windoiws\system32\severe.exe 删除这两个文件
md tfidma.exe
md severe.exe 建立两个文件夹,文件夹的名称和病毒的名称一样,这样这种病毒
就不会自动复制到这个文件夹了
行为恶劣的U盘病毒OSO.exe(Worm.Pabug.ck)分析与查杀 |
|
IP卡
狗仔卡
发表于 2007-4-22 03:43
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
楼主
