方法一:
最近流行U盘传播病毒,搞得整个局域网全是病毒。几乎所有人U盘到我这里一用,就发现病毒提示,xcopy.exe 还有 svshost.exe 什么的。。然后每个盘单击右键的时候出现“自动播放”,用正版的江民和瑞星没有搞定。以下有文件代码可制作成专杀工具。拷贝代码在安全模式下运行即可。
通过查看进程,还有系统文件夹,发现c:/windows/system32 下面多了temp1.exe temp2.exe ,而且c:/windows/下面多了xcopy.exe,svshost.exe。后两个文件作为系统保护文件隐藏。每个磁盘根目录下面多了:autorun.ini copy.exe host.exe 也是作为系统保护文件隐藏了。删掉后又自动出现,而且autorun.ini文件有一行代码是open=copy.exe 就是让你双击磁盘的时候自动运行一下copy.exe。。。。
推荐手动清除办法:
1、开机按F8进入安全模式。打开我的电脑,工具,文件夹选项,查看:“隐藏保护的系统文件”勾去掉,再选中“显示所有文件和文件夹”。
2、打开任务管理器,中止“temp1.exe”,“temp2.exe”进程
3、删除c:/windows/下面的xcopy.exe,svshost.exe
4、删除c:/windows/system32 下面的temp1.exe temp2.exe
5、删除每个磁盘根目录下面的autorun.ini copy.exe host.exe 这三个文件
6、还原第一步的设置。
完成后,最好用优化大师清理一下无效的注册表。
折腾了偶好久才搞定,偶也不晓得是什么病毒,有点像上次rose病毒,也有可能是变种。。。上面的步骤切记要按顺序操作。
方法二:
temp2.exe病毒专杀
temp1.exe、temp2.exe是一种病毒,它将会在Windows目录下生成一个“3k.exe”后门特洛伊(检测到的名称为Backdoor/Psychware.G.Server),它会从Internet上下载并执行一个“Teen.exe”的文件,这将激活另一个Win32/Shaz.A病毒,而一旦Shaz.A被运行,它将在<系统安装盘符>:/Windows/Fonts/Font:目录下自动生成十二个文件:Igmp.exe、info.vbs、mirc.ini、mirc2.ini、pepsi.exe、pri.ini、re.exe、remote.ini、startup.vbs、temp2.exe、YoMama.txt、temp.exe。 还可能导致系统错误汇报,或者不断重起。
目前大多数杀毒厂商已经支持查杀该病毒但不彻底
手动操作:
1、重启F8进入安全模式;
2、按Ctrl+Alt+Del,调出任务管理器,结束temp1和temp2进程(若没找到可以跳过这一项);
3、在工具—〉文件夹选项—〉查看,去掉“隐藏受保护系统文件”和选取“显示所有文件”应用;
4、点击右键选择打开进入所有硬盘盘符,删掉“autorun.inf,copy.exe,host.exe三个文件”;
5、进入 <系统安装盘符>:/Windows,删掉xcopy.exe和svchost.exe,转到<系统安装盘符>:/Windows/Fonts/Font目录下,删除Igmp.exe、info.vbs、mirc.ini、mirc2.ini、pepsi.exe、pri.ini、re.exe、remote.ini、startup.vbs、temp2.exe、YoMama.txt、temp.exe
6、进入<系统安装盘符>:/Windows/System32,删除temp1.exe和temp2.exe;
7、点击“开始”—〉“运行”,输入“regedit”执行,打开注册表编辑器,进入“HKEY_CURRENT_USER/Software/Micosoft/Windows NT/Current Version/Windows”,删除Load字符串值,或打开清空里面的内容“<系统安装盘符>:/Windows/svchost.exe”。
清理完后大家可以把文件夹选项的相关内容改回来。
值得注意的是,病毒主要的感染方式为Xp特有的自动播放功能,绝大多数是插U盘感染的。因此,对防护要求较高的同学可以屏蔽这一项,具体方式为:
点击开始——运行,输入“gpedit.msc”,打开组策略管理器,进入计算机配置——管理模板——系统,把“关闭自动播放”启用。
2161
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
