前段時間因爲畢業設計的需要,很多同學要把自己的論文拿到打印社去打印,這都是通過U盤拷來拷去的,一種威脅力極強的病毒悄悄的在我們身邊的機器中蔓延。在嘗試了很多方法之後,終於找到一種可行的辦法,貼出來和大家分享。
------------題記
中毒特徵:
1、不能顯示隱藏文件,通過更改文件夾選項裏的顯示所有文件無效。
2、打開硬盤出現問題,除了C盤以外的其他盤根目錄下都存在一個Autorun.inf文件和一個*.exe文件。
3、大部分殺毒軟件和防火牆都被屏蔽,包括卡巴斯基、瑞星、微軟自帶的防火牆等等。還有一些相關軟件,例如safe360,hijackthis,等都名列其中。無法安裝,無法運行。其中像safe360等修改文件名就可以運行,但是像卡巴一類的有服務在運行,是改不了名字。
4、登錄網站搜索中出現“殺毒”等字樣,瀏覽器關閉,一些安全相關網站無法打開。
5、安全模式進不去。正常模式可以。
暫時就遇到這麼多特徵,我想病毒應該還有很多其他破壞力,比如潛伏起來,自動下載木馬等等。
其實病毒文件很容易發現,在進程中aambvxd.exe和kaaeljd.exe兩個進程,互相依賴,無法強制終止。在運行裏輸入msconfig命令查看啓動項,這兩個儼然躲在這裏,取消的話下次重啓還會加載。根據啓動項裏提供的路徑,找到了在C盤裏,病毒的老窩。C:/Program Files/Common Files/Microsoft Shared和C:/Program Files/Common Files/System. 傳統的病毒都是在C:/WINDOWS/system32和C:/WINDOWS裏面的。中間試過很多方法就不提了。下面說說簡單的清除步驟:
1、恢復安全模式。網上方法很多。參見http://blog.csdn.net/totoorange/archive/2007/06/08/1643710.aspx
2、需要特別注意,開機按F8進安全模式,選第3個帶命令提示符的安全模式,不要選一般的安全模式。因爲經過實驗,發現在一般的安全模式下,病毒照樣可以啓動。
3、下面的操作我想一般都差不多了。就是使用DOS命令把病毒文件刪除。首先進入上面提到的兩個目錄C:/Program Files/Common Files/Microsoft Shared和C:/Program Files/Common Files/System.
命令:cd
如果你不確定在這目錄下有沒有這兩個病毒aambvxd.exe和kaaeljd.exe,可以用dir /ah來查看隱藏文件
下面是刪除 del aamvbxd.exe /ah
del kaaeljd.exe /ah
另外 用同樣的命令進入每個盤的根目錄 將autorun.inf 和另一個exe文件刪除。(文件名我忘記了,在autorun.inf裏面應該有)這樣雖然不能完全清除,但是至少可以正常啓動時不讓其運行,或許還有病毒修改的其他註冊表,不太好手工修改,好像中了這個病毒的在C盤下還有meex.exe文件可以找到其路徑進行刪除。有許多可以進程或者程序拿不準是系統的還是病毒最好問問身邊朋友或者到網上查查資料,接觸多了,基本判斷的也差不多。
另外將病毒刪除以後,可以選擇進入正常的安全模式,在註冊表裏查找aamvbxd和kaaeljd等病毒關鍵字進行註冊表的刪除。另外把顯示隱藏文件修改過來,至於怎麼修改網上有很多。
本來不打算寫這些,那兩天至少殺了20多臺機器,有的剛殺完U盤一插,又中了,把我鬱悶的- -!
看到網上沒有這個病毒相關介紹,有人說德國小紅傘可以殺掉,我沒試過,當時用超級巡警anti-spyware殺的時候,查出來,殺不掉……不知道爲什麼它可以運行起來。
友情提示,最近autorun病毒傳播相當嚴重,大家都知道用U盤的時候雙擊會中毒,打不開盤。現在病毒學的聰明瞭,開始僞裝了,右擊彈出的菜單裏,上面的“打開”和資源管理器都是指向病毒的,細心點會發現下面還有個“打開”,總之,大家多多小心爲妙。