科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道terebmi.exe U盘病毒详细介绍

terebmi.exe U盘病毒详细介绍

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

本文主要介绍了U盘病毒terebmi.exe 的特征及清除方法。

作者:佚名 来源:51CTO.com 2008年10月22日

关键字: terebmi.exe U盘病毒 防病毒

  • 评论
  • 分享微博
  • 分享邮件

  病毒表现:

  在各个盘符里生成autorun.inf、xywrebh.exe两个文件

  只要用户双击在打开各盘符,那么就自动运行了xywrebh.exe文件

  在C:\Program Files\Common Files\System下生成terebmi.exe文件;

  在C:\Program Files\Common Files\Microsoft Shared下生成nuygtvw.exe文件

  无法打开所有带”病毒”字样的文档

  无法打开IE(开一会就自动关闭)

  解决方法:

  必须在断网的前提下进行。

  过程如下:

  首先,我发现的是该病毒没把精锐网吧辅助工具5.7禁用,所以我在其里面的进程管理项目栏里找到了上面那两个病毒的进程名与路径,直接右键选择“终止进程并禁止运行”,之后在限制恢复栏目里点击浏览找到病毒路径,直接选删除文件。并在启动管理项目栏里将病毒启动项清除。

  使用”eFix--Hidden(恢复系统隐藏文件).reg”示隐藏属性

  此时,路径病毒已经被清除,但还有残留。用资源管理器找到以下两个路径:

  C:\Program Files\common files\system和C:\Program Files\Common Files\Microsoft Shared

  将可疑文件删掉。(主要是terebmi.exe和nuygtvw.exe两个)

  需要特别注意的是在HOSTS里,将其内容改为

  # Copyright (c) 1993-1999 Microsoft Corp.

  #

  # This is a sample HOSTS file used by Microsoft TCP/IP for Windows.

  #

  # This file contains the mappings of IP addresses to host names. Each

  # entry should be kept on an individual line. The IP address should

  # be placed in the first column followed by the corresponding host name.

  # The IP address and the host name should be separated by at least one

  # space.

  #

  # Additionally, comments (such as these) may be inserted on individual

  # lines or following the machine name denoted by a '#' symbol.

  #

  # For example:

  #

  # 102.54.94.97 rhino.acme.com # source server

  # 38.25.63.10 x.acme.com # x client host

  127.0.0.1 localhost

  即可

  附:FileFix--Hidden(恢复系统隐藏文件).reg内容(针对XP)

  Windows Registry Editor Version 5.00

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]

  "Text"="@shell32.dll,-30499"

  "Type"="group"

  "Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\

  00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,\

  48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,\

  00

  "HelpID"="shell.hlp#51131"

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]

  "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"

  "Text"="@shell32.dll,-30501"

  "Type"="radio"

  "CheckedValue"=dword:00000002

  "ValueName"="Hidden"

  "DefaultValue"=dword:00000002

  "HKeyRoot"=dword:80000001

  "HelpID"="shell.hlp#51104"

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

  "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"

  "Text"="@shell32.dll,-30500"

  "Type"="radio"

  "CheckedValue"=dword:00000001

  "ValueName"="Hidden"

  "DefaultValue"=dword:00000002

  "HKeyRoot"=dword:80000001

  "HelpID"="shell.hlp#51105"

  将以上内容复制到记事本中,保存为*.reg格式文件,双击导入注册表即可。

    • 评论
    • 分享微博
    • 分享邮件
    VIP专区
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章

    业界热点:

    北京第二十六维信息技术有限公司(至顶网)版权所有. 京ICP备15039648号-7 京ICP证161336号 京公网安备 11010802021500号