2007/2/25回到學校,一開電腦就中了一隻"memsub.exe"的毒,好像也是rose.exe病毒的變種,參考了以下的解法才搞定
1 進入安全模式
2 關閉所有瀏覽器、資源管理器、我的電腦(所有會調用Explorer.exe的程序都關掉)
3 打開注冊表編輯器regedit.exe
4 打開CMD,進入命令行模式(即通常說的DOS模式)
5 刪除各分區下的Autorun.inf和NTDETECT.EXE這兩個隱藏文件。怎麼刪除??
c:attrib autorun.inf -s -h -r -a
c:attrib NTDETECT.EXEorMEMSUB.EXE -s -h -r -a
c:del autorun.inf
c:del NTDETECT.EXEorMEMSUB.EXE
前面兩個是去除文件的系統、隱藏和只讀屬性,後面就不要我說了
6 在注冊表編輯器裡查找所有帶有NTDETECT.EXE的項,刪除
7 查找所有帶explorer Microsoft的值,刪除
8 查找所有帶Shellexplore.exe的值,刪除
9 在命令行模式下輸入指令:shutdown -r 重新啟動計算機
重新啟動後,發現病毒的症狀消失了。所有分區也可以正常打開了。資源管理器和我的電腦打開的速度也正常了。
附加免費掃毒軟體 (好像沒什麼用..>"下載Dr.Web CureIt到桌面 下載地址: ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe 或者 ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe 雙擊cureit.exe(drweb-cureit.exe)咝? 選擇"start"->"ok"允許做一次Express Scan(快速掃描) 這個掃描如果找到已感染的文件,會提示你進行殺毒(Cure),請選擇"ok" Express Scan(快速掃描)完成後,選擇所有你的盤符 (點擊出現紅色小點代表此盤符已經被選定) 選擇右邊的綠色三角,開始掃描 當掃描過程中找到已感染的文件,按"Yes to All"去清除/移動文件 掃描完成後,如果發現被感染的文件,選擇此圖標(全選), 再按下面個正方形 (由上開始數,第2個),選"Move incurable" [如果文件不能被殺毒(Cure), 他將被放在%USERPROFILE%DoctorWebQuarantine裡] 關閉Dr.Web CureIt,重啟電腦,因為這樣才能刪除/隔離,感染的文件. PSr.Web CureIt是個免費掃描器 (包含最新病毒庫,可以檢測清除病毒、木馬、後門、流氓惡意軟件) 不和已裝殺毒軟件衝突,但是請不要做殺毒軟件使用, 下次使用請重新下載Dr.Web CureIt..[@more@]
[轉貼]
NTDETECT.EXE清除小記
今天一位同事的筆記本中了病毒,所有的分區都無法打開。
只看見每個分區下面都有Autorun.inf和NTDETECT.EXE
這兩個隱藏文件。用過瑞星、AVAST、MCAFEE都沒查出來有病毒。
用HijackThis沒有找出任何可疑的地方。
于是嘗試在安全模式下面刪除這些文件。
誰知道在安全模式下面刪除這些文件之後,立馬又有了。
檢查進程也沒發現什麼可疑進程。
當下我便懷疑該病毒是使用消息鉤子對Explorer.exe進行監控,
每當打開資源管理器便進行感染。
可是用GMER也沒看出什麼特別的東西出來
(也許是因為我還不會用GMER吧-_-!!)。無奈之下只好重新分析。
在DOS環境下進行刪除操作之後,會發現這些文件不會再次出現,
由此可推,病毒應該是採用Explorer注入或者監視
在DOS環境下
来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/580739/viewspace-900362/,如需转载,请注明出处,否则将追究法律责任。
转载于:http://blog.itpub.net/580739/viewspace-900362/
651
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
