最近我启动电脑后,屏幕上就跳出一些DOS窗口,显示一些奇怪的文件名,似乎什么进程运行失败,右下角的诺顿杀毒软件处于禁用状态,当鼠标移动到上面以后连图标都消失了,而且家庭局域网中另一台电脑的杀毒软件也不能运行了,电脑速度也变慢了。我怀疑是中了病毒,于是请朋友来帮我看看,得知我的电脑好像中了一种名叫Worm.VB.jw.372736的病毒,是它把我的杀毒软件劫持了。我要怎么才能彻底消灭它呢?
病毒自述:劫持杀毒软件,打造“安全真空”
我叫“土匪虫71682”,是蠕虫病毒家族的“新宝宝”,威力超强无敌,不但能劫持经常使用的杀毒软件,让它们都“歇菜”,还可以运用敏锐的嗅觉查找当前可用的网络连接和共享进行传播。厉害吧?下面就来看我是如何“拳打脚踢”的。
当我进入用户的电脑系统后,首先会在系统目录的System文件夹中释放Alcwzrd.exe、Ineters.exe、Notepd.exe、SoundMan.exe、Tttzhh.ini、Zjhz1.ini六个病毒文件,并赋予它们“光荣”而“艰巨”的破坏任务。
接着,我迅速修改系统注册表,把自己的相关信息加入其中,实现随系统启动而自动运行的目的。另外再添加许多注册表项,所有注册表项均指向“svchost.exe”。
一旦添加到注册表项中,则自动搜索系统中已安装的杀毒软件,显露我的“土匪本色”,对它们实行映像劫持,包括金山毒霸、诺顿、卡巴斯基、瑞星等著名产品均在我的“黑名单”中。wwW.ItcompUTeR.Com.cN
最后,我会利用嗅觉查找当前可用的网络连接和共享,一旦找到了当前计算机的共享目录,则马上开始复制操作,将自身复制到共享目录,传播自己的“兄弟姐妹”。劫持了杀毒软件的直接后果,则是导致电脑系统形成“安全真空”环境,直接给外部的病毒木马以可乘之机。
本期医生:彻底剿杀“土匪虫71682”
我们不要被“土匪虫71682”的流氓行为吓倒,采用非常手段——利用几款常用的安全工具联合作战,上演一出“剿匪记”。
Step1:先转到安全模式下,打开“我的电脑”,选择“工具”→“文件夹选项”,再选择“查看”,取消“隐藏受保护的操作系统文件”前的对钩,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。
Step2:接下来删除系统目录System文件夹中的Alcwzrd.exe、Ineters.exe、Notepd.exe、SoundMan.exe、Ttzhh.ini、Zjhz1.ini病毒文件,某些文件在手工删除时会提示此文件正在使用无法删除,使用安全工具Unlocker(下载地址:http://www.cpcw.com/bzsoft)就可以避免这种问题。
Step3:然后升级当前计算机中所用的杀毒软件到最新病毒库进行全面查杀,再用《360安全卫士》配合AVG Anti-Virus来清除系统中剩余的病毒文件即可。
要避免被“土匪虫71682”这样的恶意病毒盯上,我们平时一定要养成良好的网络使用习惯,开启杀毒软件监控功能(如邮件监控、内存监控等),还要及时升级杀毒软件,开启防火墙,切断病毒传播的途径,不给病毒可乘之机。
win2000自动登录怎么改 Q:我使用Windows 2000系统,有两个系统管理员名:1和2。以前总是用1用户名登录,上次不小心用2用户名登录后,电脑就一直以2名自动登录,每次要注销2后才可以使用1用户名重新登录,请问怎么实现启动操作系统时直接用1用户名自动登录?www.sq120.com推荐文章
A:处理方法很简单,在“控制面板→用户名和密码”,先选中“要使用本机,用户必须输入用户名和密码”,单击“应用”按钮。之后,取消“要使用本机,用户必须输入用户名和密码”的选择,单击“确定”按钮,在弹出的“自动登录”对话框中,键入1用户名及密码就可以了。
电脑自动倒计时关机
读者来信:这两天我的系统不知道是什么原因,常常会不定时地弹出一个Limit计时器,倒数15分钟就自动关机。其间任务管理器和注册表编辑器都打不开,杀毒软件也查不出是什么病毒。冲击波、震荡波的专杀工具我也用了,同样没有解决问题。
最后没有办法了,只得重装操作系统。可是每次重装后又出现倒计时,请问《电脑报》的安全专家,是什么原因造成15分钟倒计时关机的?为什么重装系统后又很快出现了?
安全专家:从读者来信中我们知道,他碰到了15分钟倒计时关机的情况,这是因为操作系统受到了“五月莉娜”计算机病毒的侵害。“五月莉娜”病毒因为很多人对它都不甚了解,网上也只有很少的介绍,所以用户很难找到它的清除方法,更不用说有什么专杀工具可以使用。
一旦中了“五月莉娜”病毒,系统目录中的一些重要文件就会被替换,比如任务管理器、注册表管理器、系统配置程序,以及命令提示符等等。其实该病毒还是属于现在非常流行的闪存盘病毒这一个大类,通过闪存、移动硬盘等移动设备来进行传播。
不过本报第31期讲的闪存盘病毒通用解决方案在这里就不完全有用了,因为该病毒除了可以利用移动设备进行传播外,还可以利用网页木马等其他方式来进行传播。再加上其他磁盘目录里面“五月莉娜”残留的病毒存在,因此用户很容易在重新安装系统后再次被感染。
另外,“五月莉娜”病毒和其他的闪存盘病毒还有所差别的是,该病毒并不会在右键菜单多出一个“Auto”命令,因此也很难让用户发现隐藏在该目录下的病毒文件。正是这样的原因造成了上面那位读者多次重装系统,才勉强将病毒从系统成功清除。
“五月莉娜”完全清除方案
方法一:菜鸟清除法
首先重新安装系统,完成后不要立即打开任何磁盘。点击开始菜单中的“运行”命令输入“CMD”,然后在弹出的命令提示符窗口中执行“attrib autorun.inf -s -h -r”,这样做是为了去除该文件的隐藏等属性内容。
最后再在窗口中执行“del autorun.inf”和“del limit.exe”就可以了(图1)。需要特别注意的是,对所有的磁盘分区都要这样操作,要不然病毒又会自动感染其他的磁盘分区。
方法二:老鸟操作法
首先重新启动系统(该方法不用重装系统),并按F8进入安全模式。接着利用《冰刃》等安全工具删除所有磁盘分区下的autorun.inf和Limit.exe等病毒文件,删除c:\windows下的regedit.exe文件夹和图标为批处理的一个可执行文件MSCONFIG.EXE(图2)。
删除c:\windows\system32下的cmd.exe文件夹、command.exe文件夹、taskmgr.exe文件夹,删除c:\windows\system32\dllcache下生成的cmd.com、cmd.exe、regedit.com、regedit.exe、command.com、command.exe等文件夹,这种对系统重要文件进行替换正是很多系统工具无法使用的原因。
再打开注册表编辑器,先在启动项中删除空白的项目MSCONFIG.EXE,接着在注册表中分别搜索msconfig、Limit等关键字,然后将查找到的所有可疑的注册表项目和它对应键值统统删除。
然后从其他干净的操作系统中复制regedit.exe、taskmgr.exe、msconfig.exe、cmd.exe等文件到系统中,再利用Copy命令复制到以前的位置,例如copy c:\cmd.exe c:\winedows\system32。
最后重新正常启动后发现系统已经恢复正常,有时系统会跳出Windows修复程序,将系统安装盘插入到光驱后即可自动修复。
编辑观点:安装闪存病毒防御软件
由于“五月莉娜”病毒清理起来还是比较棘手的,所以这里用户可以根据自己的实际情况来选择一种清除方法。如果你对系统操作不熟,就通过第一种方法来解决;如果你对系统操作很熟练,第二种方法应该更适合你。
此外,还需要为操作系统安装MS06014和MS07017两个漏洞补丁。建议安装闪存病毒防御安全工具。例如《Autorun病毒防御者》(下载地址:http://www.cpcw.com/bzsoft/),具体工具选择可以参考《电脑报》第32期《4款闪存杀毒软件综合能力测试》。
From:http://www.itcomputer.com.cn/Article/Network/201309/367.html