珞珈山水BBS -- 单文区文章阅读

搜索

单文区文章阅读 [返回]
发信人: yejiantong (叶剪瞳), 信区: Security 标题: Re: 有关rose病毒的变种发信站: BBS 珞珈山水站 (Sun Nov 19 14:57:16 2006) 【在 yejiantong (叶剪瞳) 的大作中提到: 】 : 我的电脑好像中了毒，和rose的症状很相似，就是无法双击打开c,d,e盘，右键单击�.. : 第一项由“打开”变成了“auto”，只能由“打开”这个选项才行。但是我在三个盘.. : 找，都没有找到rose.exe，但是有找到autorun.inf,然后把找到的文件删除了以后，.. : ................... 我的问题已经解决了，该病毒不是rose的变种，而是一种木马病毒。现在我已经手动删除了，现将具体的方法告知，希望对同病相怜者有所帮助。一、关闭病毒进程 Ctrl + Alt + Del 任务管理器，在应用程序里面查找类似kill等你不认识 [任务栏不显示 ] 的任务，右键—>转到进程，找到类似 [SVOHOST.exe]（但不是SVCHOST，相差一个字母）的进程，右键—>结束进程树！！！补充！！！也可能就是svchost.exe，但是是C:\windows\svchost.exe而不是c:\wi ndows\system32\svchost.exe, 二、显示出被隐藏的系统文件开始—>运行—>regedit HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced \Folder\Hidden\SHOWALL，将CheckedValue键值修改为1 这里要注意，病毒会把本来有效的 [DWORD] 值CheckedValue删除掉，新建了一个无效的字符串值 [REG_SZ] CheckedValue，并且把键值改为0！我们将这个改为1是毫无作用的。（有部分病毒变种会直接把这个CheckedValue给删掉，只需和下面一样，自己再重新建一个就可以了）方法：删除此CheckedValue键值，单击右键新建—>Dword值—>命名为CheckedValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”和“显示系统文件”。在文件夹—>工具栏—>工具—>文件夹选项，将系统文件隐藏文件和文件后缀名设置为显示，懒人请直接双击我给你的注册表文件就可以设置了三、删除病毒在分区盘上单击鼠标右键—>打开，看到每个盘跟目录下有 autorun.inf 和 tel.xls.exe 两个文件，将其删除。U盘同样，下面的系统里面有说U盘的，看完再说！四、删除病毒的自动运行项开始—>运行—>msconfig—>启动—>，删除类似sacksa.exe之类的不认识的项，保留项为 [杀毒程序、ctfmon、摄像头、防火墙] 五、删除遗留文件 C:\WINDOWS\ 跟 C:\WINDOWS\system32\ 目录下删除 SVOHOST.exe[注意系统有一个类似文件，图标怪异的那个类似excel的图标的是病毒] session.exe、sacaka.exe、SocksA.exe 以及所有excel类似图标的文件，每个文件夹两个，不要误删哦，自己注意. 重启电脑后，基本可以了。 -- ※ 来源:·珞珈山水BBS站 http://bbs.whu.edu.cn·[FROM: 222.20.219.*]
[返回单文区目录]

单文区文章阅读 [返回]

发信人: yejiantong (叶剪瞳), 信区: Security
标题: Re: 有关rose病毒的变种
发信站: BBS 珞珈山水站 (Sun Nov 19 14:57:16 2006)

【在 yejiantong (叶剪瞳) 的大作中提到: 】
: 我的电脑好像中了毒，和rose的症状很相似，就是无法双击打开c,d,e盘，右键单击�..
: 第一项由“打开”变成了“auto”，只能由“打开”这个选项才行。但是我在三个盘..
: 找，都没有找到rose.exe，但是有找到autorun.inf,然后把找到的文件删除了以后，..
: ...................
我的问题已经解决了，该病毒不是rose的变种，而是一种木马病毒。现在我已经手动删除
了，现将具体的方法告知，希望对同病相怜者有所帮助。
一、关闭病毒进程
Ctrl + Alt + Del 任务管理器，在应用程序里面查找类似kill等你不认识 [任务栏不显示
] 的任务，右键—>转到进程，找到类似 [SVOHOST.exe]（但不是SVCHOST，相差一个字母
）的进程，右键—>结束进程树
！！！补充！！！也可能就是svchost.exe，但是是C:\windows\svchost.exe而不是c:\wi
ndows\system32\svchost.exe,
二、显示出被隐藏的系统文件
开始—>运行—>regedit
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced
\Folder\Hidden\SHOWALL，将CheckedValue键值修改为1
这里要注意，病毒会把本来有效的 [DWORD] 值CheckedValue删除掉，新建了一个无效的字
符串值 [REG_SZ] CheckedValue，并且把键值改为0！我们将这个改为1是毫无作用的。（
有部分病毒变种会直接把这个CheckedValue给删掉，只需和下面一样，自己再重新建一个
就可以了）
方法：删除此CheckedValue键值，单击右键新建—>Dword值—>命名为CheckedValue，然
后修改它的键值为1，这样就可以选择“显示所有隐藏文件”和“显示系统文件”。
在文件夹—>工具栏—>工具—>文件夹选项，将系统文件隐藏文件和文件后缀名设置
为显示，懒人请直接双击我给你的注册表文件就可以设置了
三、删除病毒
在分区盘上单击鼠标右键—>打开，看到每个盘跟目录下有 autorun.inf 和 tel.xls.exe
两个文件，将其删除。U盘同样，下面的系统里面有说U盘的，看完再说！
四、删除病毒的自动运行项
开始—>运行—>msconfig—>启动—>，删除类似sacksa.exe之类的不认识的项，保留项为
[杀毒程序、ctfmon、摄像头、防火墙]
五、删除遗留文件
C:\WINDOWS\ 跟 C:\WINDOWS\system32\ 目录下删除 SVOHOST.exe[注意系统有一个类似文
件，图标怪异的那个类似excel的图标的是病毒] session.exe、sacaka.exe、SocksA.exe
以及所有excel类似图标的文件，每个文件夹两个，不要误删哦，自己注意.
重启电脑后，基本可以了。

--

※ 来源:·珞珈山水BBS站

http://bbs.whu.edu.cn·[FROM: 222.20.219.*]

[返回单文区目录]