最近一段时间优盘传播类病毒播发频繁,现将该类病毒的防治与查杀方法予以总结。 这一类的计算机病毒大多由优盘或者移动硬盘传播,在病毒未激活的状态下,一般会在优盘的目录下生成两个文件。一个是autorun.inf,一个是*****.exe,*****.bat之类 的病毒文件,两个文件的属性均为“系统文件”“隐藏文件”。第一个文件是使双击打开优盘的时候运行病毒文件,使计算机感染病毒。
感染这类病毒后计算机的症状为速度开始变慢,再任务栏点击鼠标右键,其中的“任务管理器”一项为灰色,无法使用任务管理器,使用组合键Ctrl+Alt+Del 也无法打开Windows任务管理器。在Windows资源管理器中无法显示系统文件及隐藏文件,如果病毒捆绑木马程序,还会出现不断弹出IE窗口自动连接某一网站。导致用户无法正常使用计算机。
表现为上述症状的原因是,病毒在感染计算机后会做如下的几个操作:
1、遍历每一个硬盘分区,在目录下建立autorun.inf和*****.exe文件,达到使病毒继续传播的目的,这样每次双击打开一个硬盘分区就会运行一次病毒程序。
2、修改注册表文件,是系统无法查看隐藏文件及系统文件,无法打开任务管理器,并且将病毒进程加入到计算机启动项目中每次开机自动运行。
3、不断地开启病毒进程,占用计算机资源。
4、如果捆绑木马程序的话会不断连接某一网站或向指定主机发送中毒计算机的相关信息。
如果发现所使用的计算机有类似的症状就要考虑杀毒了,由于此类病毒更新较快,杀毒软件因为其滞后性,往往不能在第一时间查杀该类病毒。这就需要我们用手工的方式删除病毒文件,清除病毒程序对计算机系统的修改。
首先打开Windows 任务管理器,有两种方法一个是“组策略”此方法只适用于Windows XP Professional版本,在“开始”“运行”中输入“gpedit.msc”,一次进入"本地计算机"策略/用户配置/管理模板/系统/Ctrl+Alt+Del 选项,在列表中打开删除“任务管理器”的属性,在其中的选项卡中选择“已禁用”或“未配置”。如果系统不是Windows XP Professional版本可使用注册表法,在“开始”“运行”中输入“regedit”。在注册表编辑器中依次展开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ 在该注册表项下建立名为 System 的项,如在Policies分支下已有System项,则无须此步骤。在 System 项下建立名为 DisableTaskMgr 的“字串符值”或者“DWORD值”,键值为1则禁止任务管理器,键值为0则不禁止。这样就可以打开任务管理器。
然后显示全部文件,在正常的系统下我们在资源管理器中的工具,文件夹选项,查看中就可以轻松的修改是否查看隐藏文件,但由于病毒程修改了注册表文件,我们需要将注册表文件改为正常。在注册表编辑器中依次展开
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL 将其中的值"Checkedvalue"置为1,即可显示全部文件。
然后我们就可以看到在每个盘符下面都会有两个文件,autorun.inf和*****.exe文件,然后在注册表编辑器中查找名为“*****.exe”的值与数据,并选中“全字匹配”注意大小写字母。删除搜索到的全部值,为了系统安全在对注册表值的删除前请备份注册表文件。
注册表修改完成之后,我们就要开始着手删除病毒文件了。首先在我们之前打开的“任务管理器”中删除掉病毒进程,不同的病毒所产生的病毒进程,所以这一步骤可能有困难。基本上可以遵从一条原则,就是病毒喜欢把自己伪装成系统正常进程,比如在Windows任务管理器中可能有一个名为“a1g.exe”的进程,后面的用户名为Administrator,那么这个进程就很可能是病毒进程,因为系统正常进程名称为“alg.exe”在LOCAL SERVICE用户之下。区别就是一个是数字“1”一个是字母“l”,但可以根据不同的用户之下来区分,基本上病毒程序都是在登陆用户之下运行的。优盘传播类病毒很多会生成很多病毒进程占用大量系统资源,这样一一将病毒进程删除即可。
保证Windows任务管理器中不再有病毒进程之后,就可以开始删除病毒文件。可以使用MS-DOS使用DOS命令进行删除。在“开始”“运行”中输入cmd,在弹出MS-DOS窗口中输入“del /a /p /s /f x:\*****.exe”。其中x:\*****.exe 根据在Windows资源管理器中看到的两个病毒文件autorun.inf和*****.exe录入对应的项,点回车之后按Y。即可删除该文件,将全部每一个盘符下的病毒文件均用此方法删除。至此,病毒查杀工作全部完成。
按照上述的方法将病毒查杀完成之后,还要检查一下系统的其它项目比如开机的启动项及服务,在注册表编辑器中展开
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 删除病毒文件的启动项,此步骤需要谨慎,注意不要误删正确的启动文件。
完成启动项目清理之后,可以说基本上将这次病毒感染所对系统的全部影响均消除,将系统恢复正常。
通过整个病毒感染分析及删除的过程我们可以总结出一些应对优盘传播类病毒防治的一下基本方法。
1、不要在插入优盘后电脑弹出的小窗口中进行操作,直接点“取消”关掉。或者直接关闭Windows XP系统自动播放功能,可在注册表编辑器中的Hkey_current_user\Software\Microsoft\Windows\Currentversion\Policies\Explorer 修改相应的值。
2、在使用优盘及移动硬盘的时候应该加倍注意,尽可能的不去双击打开,而是选择在Windows资源管理器中通过左边的那一列来打开各个文件夹,病毒程序也可能将自己复制在每个文件夹中,双击文件夹都有可能感染病毒。
3、要熟悉自己系统所运行的进程及启动项目,发现可疑的进程及启动项目及时查看是不是病毒进程。
4、及时更新系统安装系统补丁文件,更新防病毒软件病毒库文件,起到对计算机病毒的一个初步防御。
任何杀毒软件都不是万能的,只有养成良好的计算机使用习惯才能让自己的电脑尽可能远离计算机病毒的困扰。
温馨提示:答案为网友推荐,仅供参考