返回列表 回復 發帖

如何清除玉兔病毒

由於熊貓燒香病毒源代碼的洩露,該病毒的變種仍然橫行於世。玉兔病毒就是變種之一。它能夠破壞系統的安全模式,讓用戶無法進入安全模式查毒。面對這種情況,我們又該怎麼辦呢?
  安全診所來了一位求診者小王,他的電腦已經中了病毒,請求電腦安全醫生診治。醫生發現小王電腦中可執行程式的圖示都變成了玉兔的圖示(圖1),雙擊盤符都無法進入磁片,很多程式都無法正常運行。小王重新安裝系統後,馬上又被同樣的病毒感染而系統崩潰。安全醫生憑著對病毒敏銳的直覺,斷定小王的電腦感染了最近非常活躍的玉兔病毒。
玉兔病毒檔案
  玉兔病毒會破壞安全模式,使用戶無法進入該模式殺毒。玉兔病毒在每個盤符生成病毒檔和Autorun.inf檔後,只要雙擊盤符就可以感染。玉兔病毒會結束安全軟體及其他一些常用的安全輔助工具運行。玉兔病毒還修改註冊表導致用戶無法正常查看隱藏的系統檔,從而達到不被查殺的目的。
巧避鋒芒清除病毒
  首先,要清除盤符裏的病毒檔和Autorun.inf檔,以防止病毒繼續擴散。因為病毒的原因,我們不能夠正常進入註冊表和使用冰刃檢查系統。但是我們可以使用超級巡警綠色版本,因為病毒並不能關閉超級巡警。
  進入“進程管理”選項,很快發現bryato.exe、severe.exe、loveRabbit.exe等3個可疑的病毒進程。其中bryato.exe是盜取QQ密碼的木馬,而另外兩個是玉兔病毒的進程。這三個進程都插入了bryato.dll運行。
  由於病毒進程具有關閉後馬上重啟動的特點,首先選中三個進程,然後右鍵單擊三個進程選擇“禁止進程創建”命令,接著右鍵單擊三個進程選擇“強制卸載標記模組”命令(圖2),這樣便暫時終止了這幾個進程。
  進入“啟動管理→註冊表”選項,很快發現了bryato.exe和severe.exe的非法啟動專案(圖3)。右鍵單擊這兩個啟動專案,選擇“刪除啟動項”命令予以清除。
揪出系統深處的病毒
  此時,病毒還潛伏在系統深處,還需要我們進一步清理。進入“進程管理”,仔細分析一些系統進程,根據檔創建和其他資訊馬上發現了Winlogon.exe系統進程被插入了msexch400.dll這個病毒檔,記下檔位置,接著選中該檔後右鍵單擊選擇“強制卸載標記模組”命令(圖4)終止病毒進程。
  在conime.exe進程發現被插入了bryato.dll,選中該檔後右鍵單擊選擇“強制卸載標記模組”命令終止病毒進程。接著重新啟動電腦,刪除記下的病毒檔。
  再次重新啟動電腦,此時已經可以進入註冊表編輯器,進入HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL子項,發現右側的ChekedValue鍵值為1,當然無法顯示隱藏的病毒檔了,修改為0。
  之後便可以顯示隱藏的病毒檔了,最後刪除導致無法雙擊打開盤符的Autorun.inf檔以及相關的OSO.exe即可。
返回列表