闪存盘(U盘)、移动硬盘、MP3、MP4等
病毒主要表现:
1.双击盘符,在新窗口中打开,而不是在原窗口中
2.无法更改文件夹选线>>显示左右文件,即无法查看隐藏文件
3.每隔一段时间浏览器自动弹出一个莫名其妙的网页
病毒对系统的修改特征:
1.刚刚提到的无法显示隐藏文件夹,在开始菜单中选择运行,输入regeidt回车进入注册表查看一下项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
查看Checkedvalue已经被修改为0,这里需要修改为1,注意Checkedvalue的值要是dword类型的,可能有些病毒或者木马将它改成了字符类型,但键的名字还是Checkedvalue,解决办法是删除原来的值,然后再注册表编辑器的[编辑]->新建->DWORD值,名为Checkedvalue,值为1 ;不然你修改那个字符型的键是无效的!该操作需要在安全模式下进行
2.在每个盘下面生成autorun.inf在相应的目录下的recycler文件夹下有一个auto.exe,这个文件是杀毒软件可以查到的,但不是根源,如果您无法查看隐藏文件可以在开始菜单中运行cmd进入命令提示符窗口,随便进入一个盘例如 D:回车,然后输入dir /a查看是否有autorun.inf以及recycler文件夹,如果有继续执行autorun.inf可以看到已经与recycler目录下的auto.exe关联了,要查看recycler目录下的文件请执行cd recycler回车
3.右键状态栏或者Ctrl+Alt+Del进入任务管理器,在进程中会看到一个用英文+数字随机命名的进程,例如F93DB8AF之类的,这个是病毒程序,即监控每个盘下面是否已被植入病毒,如果没有或被删除就植入,同时查看是否处于联网,如果联网,每个一段时间打开病毒网站
4.病毒的主程序,在Windows/system32下会有个病毒的主文件,参考上面的命名规则,但不是同一个文件,例如ED2AFA11.exe;病毒映射文件可以看到另外一个莫名其妙的类如1E8A8362.dll的文件夹同时会有一两个带有该字符1E8A8362命名的dit文件(或者是别的后缀)你可以按照命名排序查看;进程程序,就是上面提到的F93DB8AF.exe了
5.注册表中注病毒程序与映射文件之间的关联,可以Ctrl+f输入1E8A8(这里根据你的电脑情况不同)查看,这里的映射文件是为了欺骗类似USBcleaner之类的专杀工具的
6.windows目录下会有一个notepab.exe,这个不是notepad.exe(系统的记事本程序),它是用来强制执行隐藏文件夹命令的。
U盘病毒auto.exe手动删除的方法:
1.下载USBCleaner绿色小软件查找病毒的映射文件,下载地址http://www.usbcleaner.cn/download.htm,完成后运行KillAutoPlus.exe,这个是auto.exe专杀工具,目的是查找映射文件位置,然后找出主文件,当然你可以运行主文件进行系统的查杀看是否有其他感染,这个软件也可以帮助你检测u盘移动硬盘等是否被感染了病毒。
2.运行KillAutoPlus.exe,半路会提示无法删除某个文件,需要重启,记录一下那个文件及文件的位置,这里继续以1E8A8362.dll为例,先不理重启的事
3.运行regedit进入注册表Ctrl+F输入1e8a8之类的映射文件的部分或者全名,不要带后缀,进行查找相关主文件,会看到类似的一个"ImagePath"="C:\\WINDOWS\\system32\\ED2AFA11.EXE -8921485E"的注册表值,其中ED2AFA11.exe的主文件,记录下来
4.回到刚才的KillAutoPlus.exe重启,然后进入安全模式,多数计算机是开机时不停的按F8,根据主板不同
5.安全模式下,逐个删除病毒文件,以下是一个列表,命名根据你的电脑自行查找
(1).C:\\WINDOWS\\system32下ED2AFA11.EXE、F93DB8AF.exe、与1E8A8362相关的所有文件及文件夹 不同
(2).注册表查找所有与1E8A8362及ED2AFA11相关的项目,全部删除 不同
(3).每个盘符下的recycler文件夹及autorun.inf文件 相同
(4).完成!
