前段时间因为毕业设计的需要,很多同学要把自己的论文拿到打印社去打印,这都是通过U盘拷来拷去的,一种威胁力极强的病毒悄悄的在我们身边的机器中蔓延。在尝试了很多方法之后,终于找到一种可行的办法,贴出来和大家分享。
------------题记
中毒特征:
1、不能显示隐藏文件,通过更改文件夹选项里的显示所有文件无效。
2、打开硬盘出现问题,除了C盘以外的其他盘根目录下都存在一个Autorun.inf文件和一个*.exe文件。
3、大部分杀毒软件和防火墙都被屏蔽,包括卡巴斯基、瑞星、微软自带的防火墙等等。还有一些相关软件,例如safe360,hijackthis,等都名列其中。无法安装,无法运行。其中像safe360等修改文件名就可以运行,但是像卡巴一类的有服务在运行,是改不了名字。
4、登录网站搜索中出现“杀毒”等字样,浏览器关闭,一些安全相关网站无法打开。
5、安全模式进不去。正常模式可以。
暂时就遇到这么多特征,我想病毒应该还有很多其他破坏力,比如潜伏起来,自动下载木马等等。
其实病毒文件很容易发现,在进程中aambvxd.exe和kaaeljd.exe两个进程,互相依赖,无法强制终止。在运行里输入msconfig命令查看启动项,这两个俨然躲在这里,取消的话下次重启还会加载。根据启动项里提供的路径,找到了在C盘里,病毒的老窝。C:/Program Files/Common Files/Microsoft Shared和C:/Program Files/Common Files/System. 传统的病毒都是在C:/WINDOWS/system32和C:/WINDOWS里面的。中间试过很多方法就不提了。下面说说简单的清除步骤:
1、恢复安全模式。网上方法很多。参见http://blog.csdn.net/totoorange/archive/2007/06/08/1643710.aspx
2、需要特别注意,开机按F8进安全模式,选第3个带命令提示符的安全模式,不要选一般的安全模式。因为经过实验,发现在一般的安全模式下,病毒照样可以启动。
3、下面的操作我想一般都差不多了。就是使用DOS命令把病毒文件删除。首先进入上面提到的两个目录C:/Program Files/Common Files/Microsoft Shared和C:/Program Files/Common Files/System.
命令:cd
如果你不确定在这目录下有没有这两个病毒aambvxd.exe和kaaeljd.exe,可以用dir /ah来查看隐藏文件
下面是删除 del aamvbxd.exe /ah
del kaaeljd.exe /ah
另外 用同样的命令进入每个盘的根目录 将autorun.inf 和另一个exe文件删除。(文件名我忘记了,在autorun.inf里面应该有)这样虽然不能完全清除,但是至少可以正常启动时不让其运行,或许还有病毒修改的其他注册表,不太好手工修改,好像中了这个病毒的在C盘下还有meex.exe文件可以找到其路径进行删除。有许多可以进程或者程序拿不准是系统的还是病毒最好问问身边朋友或者到网上查查资料,接触多了,基本判断的也差不多。
另外将病毒删除以后,可以选择进入正常的安全模式,在注册表里查找aamvbxd和kaaeljd等病毒关键字进行注册表的删除。另外把显示隐藏文件修改过来,至于怎么修改网上有很多。
本来不打算写这些,那两天至少杀了20多台机器,有的刚杀完U盘一插,又中了,把我郁闷的- -!
看到网上没有这个病毒相关介绍,有人说德国小红伞可以杀掉,我没试过,当时用超级巡警anti-spyware杀的时候,查出来,杀不掉……不知道为什么它可以运行起来。
友情提示,最近autorun病毒传播相当严重,大家都知道用U盘的时候双击会中毒,打不开盘。现在病毒学的聪明了,开始伪装了,右击弹出的菜单里,上面的“打开”和资源管理器都是指向病毒的,细心点会发现下面还有个“打开”,总之,大家多多小心为妙。