今天发现一个病毒,金山毒霸查杀不了,只好手动杀了!
该病毒发作时,会启动一个叫SVCHOST.EXE的进程.并监视注册表,尝试把这个进程写入启动项内,并且将HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL
中的CheckedValue值改为0,致使无法显示所有文件.会往每个分区(包括可移动磁盘)根目录下写入"RavMon.exe"和"AUTORUN.inf"两个文件.会往c:WINDOWS目录下写入SVCHOST.EXE和MDM.EXE两个文件.SVCHOST.EXE进程会监控一旦发现其中任何一项文件被删除会重新写入.
查杀方式:
开机进入安全模式,打开超级兔子,把SVCHOST.EXE进程杀掉,并把相应的启动项删除.进入注册表将HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL中的
CheckedValue值删除,新建一个名为CheckedValue的DWORD值,将值设为1.
进入"我的电脑",先不要进入任何分区,去掉隐藏"系统文件"上的钩,点选"显示所有文件".再通过地址栏进入C盘,删除根目录下的"AUTORUN.INF"和"RavMon.EXE"文件,删除WINDOWS目录下的SVCHOST.EXE和MDM.EXE.同理删掉其他盘下的"AUTORUN.INF"和"RavMon.EXE",病毒即查杀完毕.
|
安全中国首页 > 新闻中心 > 解决方案