前幾天去文印店打東西的時候發現u盤資料夾裡面多了幾個檔案
其實就是每個源資料夾的目錄下多了乙個同名的快捷方式
作為一名oier,第一反應當然是點開屬性,發現引用的檔案位置是c盤的乙個檔案
顯然,這是乙個病毒檔案
首先嘗試刪除這些假快捷方式,發現瞬間又重新生成了
於是開啟任務管理器,發現乙個叫做「autoit3.exe」的程序
注意,這個autoit3不是那個語言編輯器,而是病毒偽裝的同名程式(區別在於i應該是小寫)
先強制殺死這個程序,然後再刪除所有的快捷方式,發現成功了
為了避免大量的人工操作,我寫了乙個批處理檔案,自動批量刪除這些快捷方式
**如下:
@echo off
echo ------ 查詢中 ...
attrib -a -s -h -r skypee
del /f /s /q skypee
echo -----skypee 已刪除本盤的毒源------
echo.
ping -t -n 1 127.0.0.1>nul
echo -----清除此盤一級目錄下的病毒快捷方式------
for /f "tokens=*" %%i in ('dir /ad /b *') do (
del /f /s /q "%%i\%%i.lnk")
echo -----清除結束------
ping -t -n 3 127.0.0.1>nul
exit
新建乙個文字文件,將上述內容複製進去,儲存後把檔案字尾名改為.bat
複製到每乙個盤的根檔案(包括你的u盤),分別雙擊執行(有多少個盤就複製多少個來執行!)
(因為這個程式只能刪除乙個盤裡面的假快捷方式!)
然而問題在於,這樣只能做到暫時刪除,如果重啟電腦,病毒又會執行,生成這些快捷方式
所以我們先殺掉這東西的開機啟動項!
開機啟動項在這個位置:
其中tqr是我的使用者名稱,酌情更改,預設的話是administrator
把裡面的奇奇怪怪的檔案全部刪掉,這樣病毒就無法自動執行了
然後找到病毒的原始檔,刪掉它
經過登錄檔一頓搜尋,原始檔的位置是
c:\google唯一的訪問方法是在位址列裡面輸入這個位址,進入資料夾
然後裡面的東西全部刪掉
至此,這個病毒就清除結束了
事情並沒有這麼結束,我把病毒拆解,研究了一下它的原理,如下:
在一台公共電腦上投放這個病毒的初代,感染此公共電腦(多見於文印店)
執行這個病毒,每有u盤插入時,就自動在其目錄製造假快捷方式,誘導點選
當u盤被拔出,插入另乙個電腦,如果這個快捷方式被點選,那麼病毒將會感染這台新的電腦,重複1過程
好在我沒有在此病毒原始碼中發現任何對計算機有損害的內容
可能是誰做了乙個軟體,無意中傳播出去,變成了現在的病毒
由於現在市面上的防毒軟體檢測不到這個病毒
所以大家最好查一下自己的u盤/電腦是否中毒,按上述方法殺一下
此病毒非常頑固,不好好調查還真殺不乾淨……
步驟總結:
開啟任務管理器,選擇「程序」,關掉名為「autoit3.exe」的程序
複製我發的**,按使用方式在每乙個盤的根目錄執行一次
到windows的開機啟動資料夾中刪除其自啟動檔案
輸入c:\google位址,進入資料夾,刪除裡面的所有檔案
前幾天順手把列印店的病毒也殺了,同學們查一下自己的u盤,別再傳播開了
結束
Chirsatmas病毒清除方法
中毒現象 向你msn好友傳送名為 chirsatmas的檔案。我在虛擬機器中分析了一下,哎,這麼弱智的病毒也敢出來混。清除方法 1 結束程序。程序名為 servidevice.exe。用冰刃或其他工具。程序是隱藏的。2 刪除檔案。路徑 systemroot 及windows目錄下。名稱 ervide...
落雪病毒清除方法
解決 落雪 病毒的方法 病狀 d盤雙擊打不開,裡面有autorun.inf和pagefile.com檔案 做這個病毒的人也太強了,在安全模式用administrator一樣解決不了!經過乙個下午的奮戰才算勉強解決。我沒用什麼查殺木馬的軟體,全是手動乙個乙個把它揪出來把他刪掉的。它所關聯的檔案如下,絕...
虛擬病毒分析與清除方法
在 windows xp 虛擬機器中,執行 virtualvirus 可執行檔案。從現象上看,病毒會導致每隔一段時間就彈出乙個對話方塊,不斷累積。事實上,觸發虛擬病毒之後,除了開啟本身程序 virtualvirus 之外,還會把自身複製到 c windows system32 和 c windows...