清晨醒来,开机之后发现,机器跑得很慢很慢
急忙打开任务管理器发现CPU占用率一直处于100%
恐怖!难道偶中毒了.
由于有文件在C盘要看一下。所以打开我的电脑,双击打开C盘。
结果是弹出的窗口,汗一个。
右击C盘,在快捷菜单中发现竟有“自动播放”和“弹出”这两项
觉得很是奇怪,难道系统把它认为光盘啦。
又看了其它的几个盘符也是这样。
所以产生了怀疑.
这才想起来前天blankICE防火墙提示安装了一个"rose.exe"
当时没在意 就点了安装模式。
郁闷。。 启动“冰刃” 发现了一个rose进程 就是它啦。。
强制结束其进程,百度了一下 发现确实是一个病毒。
先自己动手看一下,先从注册表下手,搜索rose 与其相关的选项全部删除
然后用冰刃 查看每个盘符下。 发现都有rose.exe 全部删除。。

自己感觉没事了 不过为了安全起见 去找一下专杀工具
现在公布一下
rose病毒:
症状:双击盘符无法打开,只能通过右键打开;几天之后删除系统NTDETECT.COM文件,系统无法启动。
传播途径:U盘、MP3、移动硬盘
检查方法:将文件夹选项--查看中的"隐藏受保护的操作系统文件(推荐)"前的勾去掉,并在此项下面选择“显示所有文件和文件夹”。然后打开任一盘符,如果发现有“rose.exe”和“AUTORUN.INF”文件,则已中毒。

解决方法:

手动:
结束rose.exe进程,然后删掉以下文件:各个盘符下的autorun.inf和rose.exe文件(包括自己的U盘等),c:\windows\system32\run.reg,c:\windows\system32\systemdate.ini(里面记录着删掉NTDETECT.COM文件的时间),d:\systemfile.com文件;最后将注册表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面的dll键值删掉,然后重启即可。

自动:
执行“杀rose病毒.bat”,然后重启即可。

solasky
2006.04.21


先公布一下bat的源码
taskkill /f /IM rose.exe

del /F/A:s c:\AUTORUN.INF
del /F/A:s c:\Rose.exe
del /F/A:s d:\AUTORUN.INF
del /F/A:s d:\Rose.exe
del /F/A:s e:\AUTORUN.INF
del /F/A:s e:\Rose.exe
del /F/A:s f:\AUTORUN.INF
del /F/A:s f:\Rose.exe
del /F/A:s g:\AUTORUN.INF
del /F/A:s g:\Rose.exe
del /F/A:s h:\AUTORUN.INF
del /F/A:s h:\Rose.exe
del /F/A:s i:\AUTORUN.INF
del /F/A:s i:\Rose.exe
del /F/A:s j:\AUTORUN.INF
del /F/A:s j:\Rose.exe
del /F/A:s k:\AUTORUN.INF
del /F/A:s k:\Rose.exe
del /F/A:s l:\AUTORUN.INF
del /F/A:s l:\Rose.exe
del /F/A:s m:\AUTORUN.INF
del /F/A:s m:\Rose.exe
del /F/A:s n:\AUTORUN.INF
del /F/A:s n:\Rose.exe
del /F/A:s o:\AUTORUN.INF
del /F/A:s o:\Rose.exe

del /F/A:s c:\system32\rose.exe
del /F/A:s c:\system.sys
del /F/A:s c:\windows\system32\run.reg
del /F/A:s c:\windows\system32\systemdate.ini
del /F/A:s d:\systemdate.ini
del /F/A:s d:\systemfile.com

regedit 杀rose病毒.reg



再公布一下 reg文件的源码
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"dll"=-


就这样 。呵呵 想起来 是咋中的啦
我的mp3前不久在朋友那里下载歌曲出现地。。

巨汗一下