⑴ 谁能帮我屏蔽掉这个病毒,我发现N多人的电脑已经感染这个病毒了,很烦人!!
首先你要确定这是病毒。如果他是你使用的某款软件所附带的。那就没办法了。(如果你舍得卸载那个软件就是例外。)
凡是程序,就必定会有进程。如果是开机自动启动。那么就会有注册表项。
如果是开机启动,你可以使用360安全卫士的开机加速将这个启动项给禁止掉。(谨防在开始菜单——所有程序——启动 中被添加了东西。)
如果不是开机启动,而是你在开启了某项软件后弹出,那么就是软件问题。
当然还有另外一种情况。这是一个单独程序,但是被写到了计划任务里面。同样可以使用360安全卫士的开机加速将他干掉。
如果想在根本上解决。可以使用你机子上的360安全卫士——功能大全——进程管理器
在相应的进程上,点击右键——打开所在目录,将他删除掉。
⑵ 怎样彻底清除木马病毒
彻底清除木马病毒步骤如下:
1、打开360杀毒软件,点击“全盘扫描”,对整个电脑进行全盘杀毒。
⑶ 手机设置里安全事件里的历史感染病毒怎么删
摘要 你好,设置应用权限:检查应用软件开启的权限,禁用陌生软件或不常用软件的拨打电话、发送短信或彩信、读取各种信息、调用移动网络等权限。
⑷ 简单的电脑病毒如何手动去除
第一、全面检测计算机
对于新手,手动全面检测计算机是非常困难的,因为需要打开注册表,一项一项去检查,那我们就使用简单的方法——运用SRE这个软件,SRE全名System Repair Engineer。打开软件后,点击软件左边的智能扫描,再点击“扫描”,就可以对计算机进行较为全面的扫描了。
对于不想自己分析的新手,请把日志贴到论坛上,会有人帮你解决。
第二、分析扫描日志
这个是最关键的一步,对于很多新手,选择来论坛发布日志,让有经验的高手来分析,这样省时省力,但是如果大家学会分析日志,那么就可以有更多的人帮助新来的人,减少版主和论坛高人的劳动。分析日志学习起来很难,因为需要不断积累经验,在这里只介绍简单的方法
1、了解日志
SRE日志分别扫描了注册表启动项、启动文件夹、服务、驱动、浏览器加载项、进程、文件关联、Winsock 提供者、autorun.inf、HOSTS文件、API HOOK。我会重点介绍一些检测时常用的项目
2、看进程
看进程,看什么呢?看的就是,是否有除系统基本进程和软件产生进程外的其他进程,尤其注意进程路径是c:windows和C:windowssystem32下的文件,可能有些新手不知道那些是系统基本进程,那些是软件安装的进程,这就是需要经验积累的地方。
对于系统进程加载的DLL,这个需要具体分析,很多盗号木马运用了这个方式,那就要经过下面三步去完善。
3、看启动项(包括注册表启动项、启动文件夹、服务、驱动)
看了进程以后,对那些是可疑文件有了一定了解后,就可以来看启动项目。SRE这个日志非常适合新手使用,因为它已经在服务和驱动这两个地方把微软签名的启动项隐藏,对于服务,驱动需要经验才能动,下面我一项一项的介绍。
4、对比
对比所有可疑启动项目和所有可疑进程,是否可以一一对应,如果不可以,那么就要看是哪里出现的问题,就对那里进行进一步的研究。看看是否是因为病毒的运行方式或者保护方式问题,或者有其他病毒的存在。当然,原因不只这一些,还是需要大家积累经验。实践是根本。
5、看其余项目
第一个要看的就是autorun.inf这个项目,如果某个盘有此文件,或者每个盘都有,那么就说明你的计算机中了病毒,处理方法很多,这里介绍几种。当然处理的时候,要保证系统中没有病毒运行了。
第一种:利用WinRAR。具体方法:打开所感染的硬盘,删除对应文件。说明不会感染计算机,方便实用。
第二种:利用资源管理器。具体方法:在打开显示隐藏文件和系统文件的前提下,利用资源管理器,在资源管理器左面选择感染的盘符,右面删除对应文件。说明对于某些病毒又感染的危险。
第三种:利用命令提示符。具体方法利用了DOS命令,具体命令如下:
Attrib –s –h –r –a X:autorun.inf
Attrib –s –h –r –a X:对应启动文件(EXE或者PIF)
Del X:autorun.inf
Del X: 对应启动文件(EXE或者PIF)
其中X代表感染的盘符。
说明可以删除彻底,需要懂一些DOS命令和CMD的使用方法。
第四种:利用冰刃。具体方法打开冰刃后,点击下面的文件,后面的处理如同资源管理器。说明删除彻底,建议新手使用。
第二个要看的就是HOSTS文件,这里的看法是按照行,日志前面写的是网址对应的DNS解析的IP地址,如果所有IP地址都是同一个,或者和其他计算机解析的IP地址不同,那么就有问题,最主要的还是同一个或者同为127.0.0.1。处理方法很简单,利用记事本打开Host这个文件,路经在C:WINDOWSsystem32driversetc,这个处理最好是在病毒删除以后。
第三、处理所有可疑文件(清除病毒文件)
这个是最关键的一步,这一步就要删除病毒了,看到论坛以前有人光用SRE这类日志扫描程序删除,就非常气愤,因为这个程序无法完全解决问题。现在先来说明一下原因,第一,若病毒运行,病毒会不时的自动检测启动项是否被修改,你用SRE删除以后,病毒会立刻检测到,自动添加,当重新启动的时候就会重新回来,解决方法倒是有一个,这个可以在安全模式下进行,但是有部分病毒在安全模式下照样会运行,下一点就说明了这个。第二,有很多病毒选择了Winlogon启动或者初始化动态链接库启动再或者驱动启动,这三类启动有一个共同特点,就是病毒在安全模式下也会运行,那么SRE对其根本没有效果。那我们怎么进行处理呢,最可靠的方法还是使用冰刃(IceSword)。
当然也有一点冰刃不是全能的,现在有病毒以进程来结束冰刃,以后会怎么样,《黑客防线》曾经有一篇文章就是专门介绍冰刃的漏洞,利用这个漏洞,病毒可以结束掉冰刃。
废话就说以上这么多,看看具体处理方法吧。冰刃在杀毒的时候需要做一个预处理,点击上方文件下的设置,选中禁止线程创建。然后就可以做下面的处理了
删除方法:
第一种情况,有确实的EXE进程。打开冰刃后,点击进程,结束此可疑进程,这样此进程不会创建,按照上面对比后的结果,如果是注册表中的,在冰刃下面可以看到注册表,直接进行修改,注意一点就是<>项目需要双击打开编辑框清空,其它的直接找到对应键值删除即可;如果是服务启动,在冰刃下进入服务,找到启动服务,点右键,改为已禁用即可;如果是驱动启动,可以打开注册表进入HKEY_LOCAL_找到对应的删除即可,也可以使用SRE进行删除。最后运用冰刃强制删除文件后杀毒结束。
第二种情况,无确定的EXE进程,现在很多木马喜欢用DLL潜入方式,比如江湖木马,征途木马,这些木马对应的启动项目是一个EXE文件,而最终起作用的是一个潜入进程的DLL,找此DLL的方法也是有经验的。此病毒删除方法就是先处理EXE文件,打开冰刃,进入对应启动项,按照第一种情况所说方法先删除启动项。然后强制删除对应文件,最后强制删除DLL文件重新启动后即可完成杀毒,如果找不到对应的DLL,不删除也可以,此DLL会成为系统垃圾,放在它该存在的位置,而不在产生作用。
第三种情况,也是最难处理的一种情况,现象就是杀毒软件报告病毒,但是无法从日志中找到任何病毒踪迹,这里要先启动冰刃,在进程、内核程序、启动组和服务中进行一次彻底查找(后面对次问题有解释),如果还是没有,就属于这种情况。此情况删除及其复杂。可以用冰刃强制删除对应文件(若杀毒软件以成功删除就不用做这一步),并且打开我的电脑,找到对应位置,建立一个同名的文件夹(包括扩展名),这样病毒将不会再产生,然后运用Filemon这个文件监控软件,进行监控,在监控过程中,逐一运行软件,看看那个软件要创建前面用冰刃或者杀毒软件删除的文件,找到后,删除此软件里面的所有文件重新安装,即可。
注册表启动项
在SRE里面,这册表启动项包括了Winlogon启动,普通注册表启动等等多个项目。这个只能看下我在虚拟机下面刚安装一版SP2的Windows XP的日志了,当然因为每一种系统(盗版方式不同或者正版等等)不同,可能扫描出来的不仅相同,剩下的需要大家经验积累。
[HKEY_CURRENT_]
[(Verified)Microsoft Corporation](启动输入法)
超级兔子、MSN Messenger等通过此项目启动
[HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows]
<> [N/A]
[HKEY_LOCAL_]
<"C:WINDOWSIMEimjp8_1IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32> [(Verified)Microsoft Corporation](微软输入法启动项)
[(Verified)Microsoft Corporation] (微软输入法启动项)
[(Verified)Microsoft Corporation] (微软输入法启动项)
暴风影音、NVIDIA显卡、声卡、超级解霸、瑞星杀毒软件、瑞星个人防火墙、卡卡上网助手、金山毒霸、江民杀毒软件、Emule、金山词霸、Nero、Real系列、酷狗等通过此项目启动
[HKEY_LOCAL_ NTCurrentVersionWinlogon]
[(Verified)Microsoft Corporation]
[(Verified)Microsoft Corporation](Winlogon启动项,逗号后面若有东西90%是病毒)
[(Verified)Microsoft Corporation]
[HKEY_LOCAL_ NTCurrentVersionWindows]
<> [N/A](初始化动态链接库,若这里面有东西90%是病毒)
以上只进行了概述
启动文件夹
这个最好看,只有部分软件修改这里,典型的比如QQ的启动项、OFFICE的工具栏启动项。这个利用的病毒也很少,早期的“比肩社区”(在桌面呈现比肩社区介绍)就利用。需要耐心检查。
服务
这个比较好看,第一看服务名称后面的状态,SRE日志扫描后的格式为(最新版本)[服务名称][当前运行状态/启动状态],其中当前运行状态是表示扫描的时候计算机是否运行了此服务,Running表示运行、Stopped表示没有运行;启动状态,表示此服务是如何启动,Auto Start表示自动,Disabled表示已禁用,Manual Start表示手动启动。其中重点看Running和Auto Start的项目,如果此项目和你安装的软件和驱动程序无关,那就可能是病毒。
驱动
我经过5年的杀毒经验,也不敢轻易动这个项目,只能介绍一条经验,就是如果一个驱动全部为数字,可能为病毒文件。因为现在各种品牌的驱动都不一样,所以其他的就记不住了。
鉴于启动项确定比较困难,希望新手在安装计算机后,做一次扫描备份,可以通过对比的方法,来看是否增加了启动项,如果此期间没有安装任何驱动和软件,那么就可能不是正常文件,就要小心的进行检查了。
⑸ 感染了病毒怎么删都删除不干净
对病毒灭活,杀掉活体病毒之后就很容易查杀了
1、电脑杀毒建议安装专业的杀毒软件,用杀毒软件在安全模式下全盘查杀处理病毒应当可以清理彻底,推荐试试腾讯电脑管家,它是免费专业安全软件,杀毒管理二合一(只需要下载一份),占内存小,杀毒好,防护好,无误报误杀。拥有云查杀引擎、反病毒引擎、金山云查杀引擎、AVIRA查杀引擎、小红伞和查杀修复引擎等世界一流杀毒软件内嵌杀毒引擎!。
打开腾讯电脑管家——软件管理——搜索【顽固木马克星】
2、安全模式下,将该目录的所有文件按修改时间重新排列,将该病毒以及修改时间和病毒一样的文件删除(先纪录名字)。安全模式下,在运行中输入msconfig,在“启动”中将除了ctfmon之外的所有项目的勾去掉。在安全模式下,把刚才的名字一个一个在注册表中查找一遍,一样路径和名称的键都删除
3、如果遇到所有安全类软件打不开,就可以用安全模式试试。如果安全模式下也进入不了的话没有太好的办法了,可以尝试挂盘杀毒,也可以制作一个引导杀毒的工具,很多杀毒软件都有引导杀毒工具,或者是重装系统。
建议你在用杀毒软件检测出木马病毒后,第一时间进行清除。一般当扫描出木马后,都会帮您勾选好所有木马,只需要点击“立即清除”就可以了。有些木马需要重启电脑,为了彻底清除危害千万不要嫌麻烦哦。
杀不掉,一般是由于木马病毒正在运行,或者有其他的病毒进程守护,造成的。
1、电脑杀毒建议安装专业的杀毒软件,用杀毒软件在安全模式下全盘查杀处理病毒应当可以清理彻底,推荐试试腾讯电脑管家,它是免费专业安全软件,杀毒管理二合一(只需要下载一份),占内存小,杀毒好,防护好,无误报误杀。拥有云查杀引擎、反病毒引擎、金山云查杀引擎、AVIRA查杀引擎、小红伞和查杀修复引擎等世界一流杀毒软件内嵌杀毒引擎!。
打开腾讯电脑管家——软件管理——搜索【顽固木马克星】
2、安全模式下,将该目录的所有文件按修改时间重新排列,将该病毒以及修改时间和病毒一样的文件删除(先纪录名字)。安全模式下,在运行中输入msconfig,在“启动”中将除了ctfmon之外的所有项目的勾去掉。在安全模式下,把刚才的名字一个一个在注册表中查找一遍,一样路径和名称的键都删除
3、如果遇到所有安全类软件打不开,就可以用安全模式试试。如果安全模式下也进入不了的话没有太好的办法了,可以尝试挂盘杀毒,也可以制作一个引导杀毒的工具,很多杀毒软件都有引导杀毒工具,或者是重装系统。
建议你在用杀毒软件检测出木马病毒后,第一时间进行清除。一般当扫描出木马后,都会帮您勾选好所有木马,只需要点击“立即清除”就可以了。有些木马需要重启电脑,为了彻底清除危害千万不要嫌麻烦哦。
⑹ 如何彻底清除病毒
一、使用正确的杀毒方法1
1、在安全模式或纯DOS模式下清除病毒1
2、不要使用网页在线杀毒2
二、带毒文件存在于特定的目录或文件中的清除方法2
1、带毒文件在\Temporary Internet Files目录下2
2、带毒文件在\_Restore目录下,*.cpy文件中2
3、带毒文件在.rar、.zip、.cab等压缩文件中2
4、病毒在引导区或者SUHDLOG.DAT或SUHDLOG.BAK文件中2
6、带毒文件在一些邮件文件中,如dbx、eml、box等3
7、文件中有病毒的残留代码3
8、文件错误3
9、加密的文件或目录3
10、共享目录3
11、光盘等一些存储介质4
一、使用正确的杀毒方法
1、在安全模式或纯DOS模式下清除病毒
当计算机感染病毒的时候,很多人都会图方便,在正常模式下清除病
毒,但这种方法往往是不能干净清除病毒的。
这里说的正常模式准确的说法应该是实模式(Real Mode),这里通俗
点说了。其包括正常模式的Windows和正常模式的Windows下的"MS-DOS方式"
或"命令提示符"。
在正常模式下,由于带毒的文件正在运行,是无法对这些文件直接进
行操作的。从现今的反病毒技术和病毒来看,绝大部分病毒都不可能在正
常模式下简单的就可以彻底清除了的。很多一些朋友误以为只要装上反病
毒软件,软件可以彻底清除计算机上的病毒,当病毒无法彻底清除的时候
就认为软件不好,这是很错误的!
建议在查杀病毒的时候,要在安全模式(Safe Mode)或者纯DOS下进
行清除。特别的,对于现在大多数流行的病毒,如蠕虫病毒、木马程序和
网页代码病毒等,都可以在安全模式下清除,不必要像以前那样必须要用
软盘启动杀毒;但对于一些引导区病毒和感染可执行文件的病毒才需要在
纯DOS下杀毒(建议用干净软盘启动杀毒)。而且,当计算机原来就感染了
病毒,那就更需要在安装反病毒软件后(升级到最新的病毒库),在安全
模式(Safe Mode)或者纯DOS下清除一遍病毒了!
关于如果进入安全模式请参见以下网址:
http://gz3.ba.net/secure_channel/defence_skill/2002/12/30/15443.htm
2、不要使用网页在线杀毒
我想这也是很多朋友使用的杀毒方法,其实这种方法也是和上述的一
样,同样无法彻底清除病毒,同时,由于利用了IE的特殊功能,会带来更
多的安全隐患,而且一般反病毒厂商也不会提供全面的病毒库文件,所以
这种方法充其量只能查出计算机上是否感染流行的病毒,而不能实际的进
行清除病毒。而且,换个角度来看,如果这样就能干净清除病毒的话,那
么厂商就没必要销售反病毒软件了。^o^
二、带毒文件存在于特定的目录或文件中的清除方法
这里所说的是由于某些目录和文件的特殊性,无法直接清除(包括安
全模式下杀毒等一些方式杀毒),而需要某些特殊手段清除的带毒文件。
以下所说的目录均包含其下面的子目录。
1、带毒文件在\Temporary Internet Files目录下
由于这个目录下的文件,Windows会对此有一定的保护作用(未经进一
步确认)。
所以对这个目录下的带毒文件即使在安全模式下也不能进行清除,对
于这种情况,请先关闭其他一些程序软件,然后打开IE,选择IE工具栏中
的"工具"\"Internet选项",选择"删除文件"删除即可,如果有提示"删除
所有脱机内容",也请选上一并删除。
2、带毒文件在\_Restore目录下,*.cpy文件中
这是系统还原存放还原文件的目录,只有在装了Windows Me/XP操作系
统上才会有这个目录,由于系统对这个目录有保护作用。
对于这种情况需要先取消"系统还原"功能,然后将带毒文件删除,甚
至将整个目录删除也是可以的。
3、带毒文件在.rar、.zip、.cab等压缩文件中
现今能支持直接查杀压缩文件中带毒文件的反病毒软件还很少,即使
有也只能支持常用的一些压缩格式;所以,对于绝大多数的反病毒软件来
说,最多只能检查出压缩文件中的带毒文件,而不能直接清除。而且有些
加密了的压缩文件就更不可能直接清除了。
要清除压缩文件中的病毒,建议解压缩后清除,或者借助压缩工具软
件的外挂杀毒程序的功能,对带毒的压缩文件进行杀毒。
4、病毒在引导区或者SUHDLOG.DAT或SUHDLOG.BAK文件中
这种病毒一般是引导区病毒,报告的病毒名称一般带有boot、wyx等字
样。如果病毒只是存在于移动存储设备(如软盘、闪存盘、移动硬盘)上,
就可以借助本地硬盘上的反病毒软件直接进行查杀;如果这种病毒是在硬
盘上,则需要用干净的可引导盘启动进行查杀。
对于这类病毒建议用干净软盘启动进行查杀,不过在查杀之前一定要
备份原来的引导区,特别是原来装有别的操作系统的情况,如日文Windows、
Linux等。
如果没有干净的可引导盘,则可使用下面的方法进行应急杀毒:
(1) 在别的计算机上做一张干净的可引导盘,此引导盘可以在Windows
95/98/ME系统上通过"添加/删除程序"进行制作,但要注意的是,制作软
盘的操作系统须和自己所使用的操作系统相同;
(2) 用这张软盘引导启动带毒的计算机,然后运行以下命令:
A:\>fdisk/mbr
A:\>sys a: c:
如果带毒的文件是在SUHDLOG.DAT或SUHDLOG.BAK文件中,那么直接删
除即可。这是系统在安装的时候对硬盘引导区做的一个备份文件,一般作
用不大,病毒在其中已经不起作用了。
5、带毒文件的后缀名是.vir、.kav、.kbk等
这些文件一般是一些防毒软件对原来带毒的文件做的备份文件,一般
情况下,如果确认这些文件已经无用了,那就将这些文件删除即可。
6、带毒文件在一些邮件文件中,如dbx、eml、box等
有些防毒软件可以直接检查这些邮件文件中的文件是否带毒,但往往
不能对这些带毒的文件直接的进行操作,对于一些邮箱中的带毒的信件,
可以根据防毒软件提供的信息找到那带毒的信件,删除信件中的附件或者
删除该信件;如果是eml、nws一些信件文件带毒,可以用相关的邮件软件
打开,确认该信件及其附件,然后删除相关内容。一般有大量的eml、nws
的带毒文件的话,都是病毒自动生成的文件,建议都直接删除。
7、文件中有病毒的残留代码
这种情况比较多见的就是带有CIH、Funlove、宏病毒(包括Word、
Excel、Powerpoint和Wordpro等文档中的宏病毒)和个别网页病毒的残留
代码,通常防毒软件对这些带有病毒残留代码的文件报告的病毒名称后缀
通常是int、app等结尾,而且并不常见,如W32/FunLove.app、W32.Funl-
ove.int。一般情况下,这些残留的代码不会影响正常程序的运行,也不会
传染,如果需要彻底清除的话,要根据各个病毒的实际情况进行清除。
8、文件错误
这种情况出现的并不多,通常是某些防毒软件将原来带毒的文件并没
有很干净地清除病毒,也没有很好的修复文件,造成文件无法正常使用,
同时造成别的防毒软件的误报。这些文件可以直接删除。
9、加密的文件或目录
对于一些加密了的文件或目录,请在解密后再进行病毒查杀。
10、共享目录
这里包括两种情况:本地共享目录和网络中远程共享目录(其中也包
括映射盘)。
遇到本地共享的目录中的带毒文件不能清除的情况,通常是局域网中
别的用户在读写这些文件,杀毒的时候表现为无法直接清除这些带毒文件
中的病毒,如果是有病毒在对这些目录在写病毒操作,表现为对共享目录
进行清除病毒操作后,还是不断有文件被感染或者不断生成病毒文件。以
上这两种情况,都建议取消共享,然后针对共享目录进行彻底查杀,恢复
共享的时候,注意不要开放太高的权限,并对共享目录加设密码。
对远程的共享目录(包括映射盘)查杀病毒的时候,首先要保证本地
计算机的操作系统是干净的,同时对共享目录也有最高的读写权限。如果
是远程计算机感染病毒的话,建议还是直接在远程计算机进行查杀病毒。
特别的,如果在清除别的病毒的时侯都建议取消所有的本地共享,再
进行杀毒操作。在平时的使用中,也应注意共享目录的安全性,加设密码,
同时,非必要的情况下,不要直接读取远程共享目录中的文件,建议拷贝
到本地检查过病毒后再进行操作。
11、光盘等一些存储介质
对于光盘上带有的病毒,不要试图直接清除,这是神仙也做不到的事
情。同时,对另外一些存储设备查杀病毒的,也需要注意其是否处于写保
护或者密码保护状态。
写在后面的话:
去年底的时侯就有打算写一篇这样的文章了,目的是想帮助各位尽快
解决一些杀毒时遇到的一些问题,不过由于工作的关系,一直没能好好地
静下来写。这些一般都是我以前工作中所遇到的一些问题,希望对大家也
有所帮助。现在也终于初步成型,我也算是了了一个心愿。
当然,由于时间仓促和水平有限,还有一些不太正确和完善的地方,
很欢迎各位提出问题和意见(最好能在论坛提出,可以大家都来探讨),
我会不断地进行修正和完善。原本还想写一些如何养成良好的防毒习惯的
文字,但好像觉得跟以前别人写的一些文章有重复了,所以暂时就不写下
去了,如果大家需要的话我会继续写的。
⑺ 怎么删除手机病毒
工具/原料:华为畅享9s手机,360手机卫士。
1、首先点击手机桌面中的360手机卫士。
⑻ 苹果如何删掉病毒感染
您好。
希望下面的回答能够对您有所帮助:
建议您直接使用iTunes进行固件恢复,这样清楚最彻底。
⑼ 我用卡巴斯基,查到对象感染病毒 但是不能删除,怎么办
……我不赞同前面一楼的说法
虽然卡巴斯基确实会比瑞星及其他一些杀毒软件慢一点点
但差距并不是很大,也不是所有杀毒软件中最慢的,还是可以接受的
如果运行卡巴斯基死机,那么跑瑞星也不会好到哪去~
……
不过不可否认瑞星确实是国产杀毒软件中做的比较好的
……
但是根据我个人使用的实际情况
有很多时候是瑞星杀不出来的毒
卡巴斯基却可以杀~~~
……
与一楼说的正好相反
……
对于楼主的问题~~~
您可以看一下是不是有隐藏进程
或者找到那个文件
察看一下文件的属性设置
有时可以手动删除
或者进入安全模式试一下
⑽ 病毒怎么清除啊
近来,威金变种病毒肆虐,不少人中招后被迫格式化所有分区,苦心保存的数据毁于一旦。
中了这种病毒的特征是:系统响应缓慢,玩网络游戏时会自动退出,硬盘里的EXE文件图标会变“花”;到dos下用ghost恢复系统失败;如果不全盘格式化,重装系统也不能解决问题。
今天有幸遇到感染此种病毒的电脑,在机主几乎绝望的情况下清除了病毒,挽救了他多年积累的数据。
现在,偶把此次杀毒的过程贴上来,供遇到类似问题的网友参考。
清除病毒的步骤如下:
一、结束病毒进程,删除病毒的启动项。
1、开机按F8键,进安全模式;
2、按Ctrl+Alt+Del打开“任务管理器”,结束Logo1和Rundll32进程;
3、我的电脑→属性→系统还原,勾选“在所有驱动器上关闭系统还原”,“确定”;(如果原来已经关闭了系统还原,这一步可略)
4、右击“我的电脑”→资源管理器→工具→文件夹选项→查看,去掉“隐藏受保护的操作系统(推荐)”前面的√,选“显示所有文件和文件夹”;
在左边“文件夹”框中依次点Documents and Settings→用户帐户名→Local Settings→Temp;
用鼠标点一下右边的任何地方,再点“编辑”→全部选定,然后按Shift+Delete来删除TEMP文件夹下的所有文件。
5、开始→运行,键入msconfig,打开“系统配置实用程序”界面,点“启动”,找出可疑的启动项,如“命令”项有windows\rundll32.exe、windows\logo1.exe,windows\down\rundl132.exe等的启动项;再回到第4步里的“资源管理器”界面,找到rundl132.exe、logo1.exe并删除;
6、再运行regedit打开注册表,编辑→查找,键入run,并勾选“全字匹配”,然后开始查找,如果看到run项中有可疑的、指向上述病毒的键值,则删除该键(注意:不是删除run项),按F3继续查找,删除与病毒有关的键,直至查找完毕;
7、点“开始”→搜索→文件或文件夹→所有文件和文件夹,最大化窗口,文件名栏填“_desktop.ini” , “更多高级选项”中勾选“搜索系统文件夹”、“搜索隐藏的文件和文件夹”、“搜索子文件夹” ,然后点“搜索”,搜索完后,单击“编辑”→全部选定,再按Shift+Delete删除所有找到的“_desktop.ini文件。
经过上述处理后,即使重启系统,病毒一般不会随系统而启动了。为了保险起见,可以在第5步中点“服务”,勾选“隐藏所有Microsoft服务”,把所有项目前面的√去掉(如果是杀毒软件的,到系统正常后再恢复就可以了);
二、下载专杀工具,清除病毒,挽救硬盘数据
重启系统,再次按F8键,选“带网络的安全模式”(正常启动也可以,但为保险起见,还是进入安全模式),打开IE,登录“江民(www.jiangmin.com)网站”或“瑞星(www.rising.com.cn)网站”,下载威金专杀工具,保存到“桌面”或其它地方,下载完后,运行它,便进入了清除病毒的过程。
过一段时间后,病毒就清除完毕。再重启系统,系统就正常了,所有EXE文件也可以用了。
再强调一下,上述是有关“威金变种病毒”的查杀方法,很多人可能同时也中了其它病毒,因此,建议在处理“威金变种病毒”后,安装杀毒软件,升级病毒库,进行全盘杀毒。
新补充:遇到新变种,专杀工具不能识别
有台机子在准备进入系统时重启,安全模式下也如此。电脑城的技术员判为主板损坏。经朋友介绍转到了我这里。启动PE系统一看,显然有“威金病毒”,清除logo1.exe、rundl132.exe等后,仍然反复重启。估计系统关键文件损坏了。再下新版的“威金变种病毒”专杀工具查,一个都没查出来,进dos下用“江民KV2006”的dos版查杀,发现所有n多的exe文件感然了“威金病毒”,但在清除某些exe文件的病毒时,dos版出现了“死机”,回到PE下删除那个exe文件,dos杀毒又可进行下去,可是不久又遇到同样问题,可能是dos版不够完善的缘故。考虑系统文件损坏严重,决定放弃挽救系统,把重点转到挽救数据上。
经询问,机主最需要保留的数据是:数码照片、DV视频、Office文档等,而那些exe程序文件如QQ的安装程序是无关要紧的。这就好办了,看我怎么收拾它们。
在PE下把C盘的有用数据复制到其它分区,格式化C盘,重装系统。然后按照上面第一步第7小点的方法删除系统盘以为的所有exe文件:
★点“开始”→搜索→文件或文件夹→所有文件和文件夹,最大化窗口,文件名栏填*.exe” ,"在这里寻找" 栏选D盘,“更多高级选项”中勾选“搜索系统文件夹”、“搜索隐藏的文件和文件夹”、“搜索子文件夹” ,然后点“搜索”,搜索完后,单击“编辑”→全部选定,再按Shift+Delete删除所有找到的“exe文件。完后再选“在更多位置查找”,选E盘,把找到的文件删除。用同样的方法删除F、G等盘的exe文件。
为了检验效果,在备份系统后,反复打开D、E等盘的文件,结果系统都没出现问题。
上述方法是“壮士断臂”。如果你的exe程序一定要保留的话,就应该“等待”!将几个exe文件用winrar打包,发给杀软公司,如江民、瑞星等,之后耐心等3、4天,他们就会更新专杀工具,下来杀就可以了。当然是安装他们的正版软件更好,因为病毒库更新比“专杀”的快,查杀也彻底些(但仍不排除杀坏的可能)。