在每个硬盘驱动器根目录下存在很多.zip和.rar压缩文件,文件名多为pass,work,install,letter,大小约为126K;在每个硬盘驱动器根目录下存在COMMAND.EXE |
1、在每个硬盘驱动器根目录下存在很多.zip和.rar压缩文件,文件名多为pass,work,install,letter,大小约为126K;
2、在每个硬盘驱动器根目录下存在COMMAND.EXE;
3、存在C:\WINDOWS\system32\hxdef.EXE文件;
4、磁盘盘符双击不能打开,说Windows无法找到COMMAND.EXE文件,要求定位该文件,定位为C:\windows\explorer之后每次打开会提示“/StartExplorer”出错,然后依然能打开驱动器文件夹;
5、病毒在每个驱动器下面写入了一个大小为49字节的AutoRun.inf文件,内容为:
open="X:\command.exe" /StartExplorer X为驱动器盘符 |
所以,如果你没有杀毒,每次点开C/D/E/F/G盘都会激活病毒
手工清除:
1、开始-->运行-->cmd(打开命令提示符) 2、dir autorun.inf /a (没有参数a是看不到的,a是显示所有的意思),此时你会发现一个autorun.inf文件,约49字节。 3、attrib autorun.inf -s -h -r 去掉autorun.inf文件的系统、只读、隐藏属性,否则无法删除。 4、del autorun.inf
到这里还没完,因为你双击了D盘盘符没有打开却得到一个错误。要求定位command.exe,这个时候自动运行的信息已经加入注册表了。
5、清除注册表中
(1)开始-->运行-->regedit-->编辑-->查找-->command.exe
找到的第一个就是C盘的自动运行,删除整个shell子键
(2)F3,重复操作,处理其他盘符
基本方法如上,也可以用Symantec的专杀工具查杀,不过似乎效果不太好!
(参考链接: http://searchsecurity.techtarget.com.cn/tips/317/3063317.shtml)
|