今天天气不错,早上做完志愿者时也比较顺利,特别是遇到了一些好牛X的老太太/老头,高兴。于是,啃完饭后就直奔B218,准备看看好久之前就说好要看的STL,可是……
不一会儿就看烦了,玩了局句CS,接着就在那里无所事事的翻机房电脑(顺便说一下,我今天才发现,原理咱机房电脑是双核( pentium 3G * 2 + 1G DDR2 ,怪不得跑CS比我那神舟顺多了).翻着翻着,看见一个 OSO.exe 的文件,在本人一直保有的好奇心的刺激下,偶虽知它来历不正,还是“哒哒”点了。这下不妙了,电脑屏幕上立即跳出来那种提示框“Runtime Error &*…#@(内存地址)”,而且还不止一个,不断地POP在屏幕上,这下我火了… 赶快在taskmgr 里面结束程序,不过我的速度怎么能给程序速度快呢…更令人发指的是这几个病毒文件已经进驻我的U盘了,惨了..
我的U盘里面多了两个隐藏文件(机房电脑的“显示隐藏文件夹”命令已经不工作了,用attrib -s -h 看见的,而更奇怪的是这两个文件在刚运行attrib -s -h 的时候能看见,可不到2秒,就自动消失,成隐藏的了。于是我就想着用一个.bat 文件来del,再马上复制和它同名字的文件过来.
a.bat :
cd/d e:/
attrib -h -s -a -r *.*
del /f /q autorun.inf
copy d:/a/autorun.inf e:/
attrib -h -s -a -r *.*
del /f /q fun.xls.exe
copy d:/a/fun.xls.exe e:/
echo on
“ok”
pause
心想这下总行了吧,My God,当我再次attrib -s -h 的时候,那两个文件竟然还是以前的两个病毒文件,而不是我自己替换过来的空文件.
傻了,傻了,这时我才忽然想到我的可能关键点不在着两个文件里,而是其他的,比如system32 里面的可执行文件,也就是那个 application( 镜像 )的程序文件。可是windows 的taskmgr 是不能查看的。于是我想到了我U盘里的“超级兔子”,呵呵,果然啊,程序文件就在“C:/WINDOWS/system32/algsrvs.exe”, 有办法了!
1、直接在超级兔子里面结束掉可恶的 fun.xls.exe ,接着在电脑的%systemroort%/system32 里删掉 algsrvs.exe, 和 fun.xls.exe 文件。
2、在所有分区上搜索”autorun.inf”与”fun.xls.exe”(在搜索的高级选项中勾上”搜索系统文件夹”与”搜索隐藏的文件和文件夹”两项),删除。(注意: 这里可能会出现五花八门的“什么什么…,文件不能删除”的提示对话框,这时你就需要用强大又小巧的 Unlocker 了,需要的留下e-mail)
3、恢复电脑里的“显示隐藏文件”功能,运行->regedit ,依次展开HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/explore/Advanced/Folder/Hidden/SHOWALL,( 推荐使用 Register Crawler 进行搜索,搜索到后还可自动定位,非常小巧强大,要的留下e-mail ), 先删掉删掉CheckedValue 键,再new 一个DWORD 键,值为1,名称还为 DwCheckedValue。
4、在taskmgr 里结束 explorer.exe ,在新建任务 explorer.exe, 这样注册表会象重启电脑一样重新载入,这下病毒终于ByeBye了.
PS: 这篇博客里提到的两个小软件( Unlocker RegisterCrawler ) 都是非常有用又小巧的工具,前者可以判断任何一个进程的关联文件,结束进程后删除文件。后者可以轻松地帮你找到注册表里的东东,这样在你删除一个程序后,就可以彻底清理掉那个程序残留在注册表里的垃圾了。(我怎么象在做广告啊…)
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
如需转载请保留出处:https://bianchenghao.cn/hz/134219.html