歼灭New Malware.j特洛伊记
New Malware.j这个该死的特洛伊病毒烦了我整整一个旬,岂有此理,今天回校拿资料,室友——毒王(因为对杀木马病毒等最为疯狂,故有此称号),又名611,或蕉蕉经过奋战终于找出了歼灭这东西的办法,此发屡战屡胜(起码我们宿舍用过此法的电脑都得救了,现在我家的电脑也得救了)。下面就详细说明一下:
1 症状
VirusScan Enterprise: 文件 C:\WINDOWS\svchost.exe 已感染病毒 New Malware.j 特洛伊。没有可用的清除程序,隔离失败。检测使用的扫描引擎版本为 5100,DAT 版本为 4933。. (来自 MI-C5A030595B02 IP 192.168.1.2 用户 MI-C5A030595B02 正在运行 VirusScan Enter8.0OAS)
VirusScan Enterprise: 文件 C:\WINDOWS\SYSTEM\svchost.exe 已感染病毒 New Malware.j 特洛伊。没有可用的清除程序,隔离失败。检测使用的扫描引擎版本为 5100,DAT 版本为 4933。. (来自 MI-C5A030595B02 IP 192.168.1.2 用户 MI-C5A030595B02 正在运行 VirusScan Enter8.0OAS)
瑞星是搜不出该病毒的,所以如果你的电脑的杀毒软件没有警报,并不是100%地证明你没中该病毒,可能是因为你的杀毒搜不出而已。自己检测一下:开始→搜索→svchost,如果你发现C:\WINDOWS\svchost.exe或C:\WINDOWS\svchost.exe.vir,恭喜你,你中招了!Mcafee似乎和这东西有不共戴天之仇,所以它虽然删不了或隔离不了但却老弹出来,吓得你半死。
2 歼灭方法
2.1 我的电脑→属性→系统还原→在所有驱动器上关闭系统还原→确定
2.2 控制版面→Internet选项→Internet临时文件→删除文件→确定
2.3 开始→运行→gpedit.msc(若打不开,则到C:\WINDOWS\system32下寻找)→计算机配置→管理模板→系统→关闭自动播放→已启用→所有驱动器→确定→回到策略组→用户配置→管理模板→系统→关闭自动播放→已启用→所有驱动器→确定[此操作是为了禁止U盘自动运行,很多时候病毒就是在你出去打印以后残留在你的U盘里的,所以绝对不可以让危险自动运行。不过若你喜欢的话,随便,自动运行还是非自动运行最终的决定还在你手。在开U盘之前还是小心地扫描一下病毒比较好。]
2.4 强行删除
用PowerRmv(下载PowerRmv)[PowerRmv使用方法:锁定目标→选取要消灭的文件→杀灭]消灭(删除完毕后文件将消失,然后出现与文件同名的文件夹,删除就可以)以下文件:
C:\WINDOWS\svchost.exe
C:\WINDOWS\svchost.exe.vir(可能没有)
C:\WINDOWS\system\svchost.exe(可能没有)
C:\WINDOWS\system\autorun.inf(可能没有)
C:\WINDOWS\system32\NetDebug.exe(重点!此文件就是大毒枭,可恶之极,藏在system32,就是为了逃过你的搜索,装成Windows系统文件,你还以为它是真正的Windows Debug程序,于是就中招了)
以上.exe文件创建时间均为2006年12月20日, 11:48:51,修改时间均为2006年12月28日, 10:50:16
C:\WINDOWS\system32\down.exe(该文件并非上述时间创立,但也是危险分子)
2.5 一般删除[shift+del删除即可,删不掉的就算了,是系统文件,不给删的。]
删除C:\WINDOWS\Tasks内的所有任务计划(记得要清空回收站)
删除C:\WINDOWS\Temp所有内容
删除C:\WINDOWS\Prefetch内在发现中毒后的所有文件(查看→详细信息→排列→修改时间)
删除在C:\WINDOWS\,C:\WINDOWS\system32\文件夹中毒后生成的文件(查看→详细信息→排列→修改时间)
此等为小喽罗,但不可放过。
2.6 为证明你已经完成任务,搜索检查一下:开始→搜索→svchost,正常情况下就只剩下C:\WINDOWS\system32\svchost.exe,若C:\WINDOWS\Prefetch下仍有该名字的东西,干掉(shift+del)!
2.7 重新启动,进入安全模式(不要告诉我你不懂什么叫做安全模式啊!晕~~~,怎么进安全模式也说了:在重启一堆东西在DOS环境下的时候猛按F8,一定要在进入Windows之前啊!然后进入高级选项,用↑↓选取“安全模式”,然后回车,跳出一个界面不动了,再回车,然后的就是Windows视窗操作了,见招拆招吧。补一句,在完全进入系统之前有个什么桌面的对话框,选“是”就行。安全模式嘛,丑是丑一点,但人家安全。很多东西在那里都运行不了,比如说你听不了歌)
2.8 SREng(下载SREng)修复系统
进入安全模式就运行SREng
2.8.1 启动项目→注册表(如果你的注册表是有被修改为非正常值的它会弹出对话框显示,应该改成什么它会告诉你,拿个笔和纸抄下来,然后按确定,在红色的那里双击,然后输入修改的东西,如果你修改错了它还会说注册表被修改为非正常值,你就继续修改吧,直到没有对话框弹出)→启动文件夹等其它东西的你就按照msconfig里面怎么动就怎么动,觉得不妥当的就禁止其运行→服务→Win32服务应用程序→隐藏已认证微软服务→看看那些不对头,干掉。在这里你就会发现那个叫做Server Network Debug\SerND的东西了,看看它的映像文件路径——C:\WINDOWS\system32\NetDebug.exe -k LocalService就是刚才那个重点删除的东西,知道这为什么叫做特洛伊病毒了吧。居然伪装Windows的Debug程序,大摇大摆地运行,该死有余!!!!虽然文件已经被杀掉了,还是把它的启动模式设定为disable,以防其作恶!
2.8.2 系统修复→文件关联和Windows Shell/IE都建议全选修复一下。
完成以上操作,重新启动计算机到正常模式,你安全了,歼灭战胜利,哈哈哈~~~~~
….晕啊!…怎么这么多步骤!
xrspook 对 斈而 的回复: 2007-03-24 22:43:18
要删干净就只能这样了。
加我QQ284357538 我也中了但不知道怎么删除 麻烦你指导我下
xrspook 对 网友 的回复: 2007-04-04 21:35:17
其实在这篇东西中我已经写得很详细了,该说的我已经都说了。
真是太感谢了,这个方法管用。送你一束鲜花。呵呵
xrspook 对 cherry 的回复: 2007-04-11 16:17:21
管用就好:)
我的电脑开始里怎么没有运行啊?
xrspook 对 M 的回复: 2007-04-17 19:08:52
打开任务栏属性,选择“‘开始’菜单”选项卡,单击“自定义”,在“开始菜单项目”中找到“运行命令”并打勾
我的电脑中毒以后怎么显示不了隐藏文件了?大哥帮帮忙!
xrspook 对 AX 的回复: 2007-04-17 19:09:49
有那么夸张吗?请再次设置文件夹中的文件显示属性。