關於部落格
整理了一些東西~
  • 19287

    累積人氣

  • 0

    今日人氣

    0

    訂閱人氣

瑞星病毒



解決方法:
先必須要能顯示“隱藏檔”,這是基本的,因為病毒在
  C:Documents and Settings用戶名Local SettingsTemp
  檔夾下隱藏了一個 rundl123.exe 程式,和在C系統盤根目錄下隱藏了 autorun.inf和 rising.exe檔,它們都是關鍵所在,一定要刪除這些主要的
  
  1- 首先安全模式啟動PC,就是開機按F8選擇安全模式,啟動PC,
  --關閉系統還原, 關閉任務管理器裏的 wuauclt.exe ---- 這2項雖不很重要,但能夠是的話還是關閉好
  
  2-現在先進入註冊表,顯示隱藏檔,如果檔夾選項裏能顯示“隱藏檔”,可以省略這一步。不能的話,在RUN運行裏輸入regedit 打開註冊表,依次打開以下鍵值
  [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL]
  ----右邊窗口有個名字為CheckedValue的鍵值,雙擊它,把dword值修改為 1
  這樣就可以在“檔夾選項”裏“顯示隱藏檔”,
  
  3-能顯示隱藏檔後,去系統盤(比如C盤)根目錄下查找病毒檔 autorun.inf和rising.exe
  刪除它們,其他磁片分區也會有autorun.inf和rising.exe,看看,有就刪除

  4-進入C:Documents and Settings用戶名Local SettingsTemp檔夾,這個是暫存檔案夾,大量的垃圾堆積在這裏,可以全部清除,病毒在這裏有個 RUNDL123.EXE, 隱藏在這裏,一定刪除它
  這個檔夾定期清除有好處,其實許多病毒從這裏開始載入,默認情形下這個TEMP檔夾是隱藏的,所以病毒很多隱藏在這裏,然後在註冊表裏遮罩你的“隱藏”選項,使你無法找到,所以定期清理非常建議,也可以把這個TEMP作成快捷方式到桌面,這樣就方便進入了
  
  5- 上述幾個主要的病毒檔刪除後,剩餘的就差不多了,現在還要去windows 和system32兩個檔夾下找出它們變種和DLL檔,這些也是比較容易發現的,多數病毒也會在這兩個檔夾下生成EXE檔,我們其實可以根據“日期-屬性”去判斷可疑的EXE檔
      在windos資料夾下可能發現的幾個變種名字如下(會隨機): FF16D806.EXE 9EEE1413.EXE 70376FF5.EXE
  在system32資料夾下就會發現幾個DLL病毒: 707376FF5.DLL 9EEE1413.DLL FF16D806.DLL
  都是比較容易發現的,名字古怪,沒有版本資訊,日期新, 全部刪除掉

      6- 還有就是該病毒也會創建兩個甚至多個隱藏檔夾,處於windows目錄或根目錄下,名字都是以SYSSJ2 SYSWM3 SYSSSGF. 這樣開頭,屬性為隱藏,打開後竟然有 svchost.exe 服務程式在裏面,還有病毒的ghook.dll, 和XP 系統system32下的 svchost.exe 大小日期一樣,但區別在於病毒的沒有版本資訊,其實 svchost.exe服務程式不可能在其他目錄,它只能在system32和dllcache兩個目錄下,如果svchost.exe出現在任何以上兩目錄以外的都刪除。

  7- 把上述的文件都刪除後,問題基本解決。
  windows
  system32,
  windowsPrefetch(緩存檔夾,裏面的緩存可全部清除)
  system32Restore (這是系統還原,可關閉掉還原,問題解決後,日期可恢復)
  還有windows檔夾下的兩個 win.ini system.ini 兩個16位元程式配置檔也被修改為1990,問題解決後會自動恢復正常日期

      8- 還有必須做的是清理這些病毒的載入
  在開始==>執行==>輸入 msconfig
  在啟動裏清空它的載入(這里欠圖, 至於清空是選擇"選擇式啟動)

  運行輸入 regedit 進入註冊表-- 進入以下鍵值
  [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
  這裏都是隨著XP啟動而載入的程式,把病毒的載入鍵值刪除即可(意思是找尋含有剛才刪除的檔案名字的數值來刪)
  
  在開始==>執行==>輸入 services.msc
  把病毒的服務專案禁止掉(意思是找尋近似剛才刪除的檔案名字的服務來禁止, 重點是rising)
  
  如果XP的wuauclt.exe更新被破壞,也許問題解決後更新程式變成圖下這樣(圖pic1右邊)
  修正這個的方法是先把system32dllcache之下的這幾個檔刪除
  wuauclt.exe
  wuauclt1.exe
  wuaucpl.cpl
  wuaueng.dll
  wuaueng1.dll
  wuauserv.dll
  系統會警告,放進CD XP進光碟機裏,系統會把上述幾個檔恢復到dllcache檔夾裏, 然後再把system32檔夾下的上述幾個檔也刪除,系統又自動從dllcache檔夾講剛才幾個新的檔複製到system32檔夾下, 這樣處理後, 更新程式也被更正。
相簿設定
標籤設定
相簿狀態