扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:ZDNet安全频道 来源:ZDNet安全频道 2008年10月20日
昨天偶然发现笔记本的瑞星监控关闭了,将监控打开后,发现所有运行的程序全部被感染。将瑞星升级到最新版本,对整个系统杀毒后,重启系统,再次杀毒,发现仍然病毒仍然没有被清除。
于是,利用瑞星提供的工具制作了瑞星U盘病毒库,又下载了瑞星光盘引导程序,刻盘后利用光盘启动,配合U盘的病毒库,对整个系统进行了杀毒。
在杀毒过程中在System Volumn Information中找到并清除了几个病毒。
但是重启系统后,病毒依旧存在。
看来,瑞星并没有找到病毒的根据。
于是只能通过google来寻找帮助,发现网上类似的情况还很多。于是根据网上给出的解决步骤开始进行清除。
首先清除了所有的病毒文件,方法是通过搜索查询短期内发生修改的DDL和EXE文件,这些文件很可能就是病毒文件或病毒的变种。对于不好确认的文件,可以在google上以文件名进行搜索,基本上就可以确定是正常的WINDOWS系统文件,还是病毒。
删除这些文件后,还需要到注册表中禁止这些病毒的文件自动启动。位置为HKEY_LOCAL_MACHINE -> SOFTWARE -> Microsoft -> Windows -> CurrentVersion -> Run。
删除后发现病毒被清除掉了,瑞星启动后不会发现被感染文件了。但是每次双击C盘或D盘等盘符,系统会提示找不到AUTO.EXE文件。用右键打开或者通过命令行方式打开并不会报错。
看来病毒还修改了注册表中双击挂载系统的设置。在注册表中查找auto.exe,将找到的注册项彻底删除后,双击盘符可以正常的打开。
重启系统后发现问题又回来了,双击盘符仍然报错,而且注册表中被删除的内容又出现了。看来还有部分内容没有别清理干净。
仔细查询后发现,病毒删除了一个autorun.tif文件,内容如下:
[AutoRun]
open=auto.exe
shellAutocommand=auto.exe
shellexecute=auto.exe
这个文件存在于每个盘符的根目录下,而且处于隐藏状态,仅通过设置查看隐藏文件是看不到这个文件的。
有两个方法可以找到这个文件,一个是通过搜索在找到文件,另外一个是通过设置注册表HKEY_LOCAL_MACHINE -> SOFTWARE -> Microsoft -> Windows -> CurrentVersion -> Explorer -> Advanced -> Folder -> Hidden -> SHOWALL中的CHECKEDVALUE,将其设置为1,就可以取消隐藏。
找到文件后将其删除就可以彻底解决AUTO.EXE病毒的残留设置。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者