|
|
关于“九月的雪”病毒
( {* B- i3 s1 F) v该病毒运行后,屏幕会被整个的黑屏代替,随后出现片片雪花下落,同时出现一首诗“九月的雪”。这时鼠标不能进行任何操作,在进程中会有snownClean.exe和netdde .exe进程,重启计算机后此病毒会在开机后自动运行。
% M1 J6 Q) K' p: _2 j: y# g6 q. x4 G9 S
现象:
& z$ s {* d( |( l. f3 e9 M此病毒会创建以下文件(下列文件均带有隐藏属性)# |4 z& e! c. K) t5 n0 \3 P
C:\WINDOWS\system32\netdde .exe(注意正常的系统文件叫netdde.exe,病毒文件在末尾多了一个空格)
* \' Y" d! ^2 ]$ w+ ^C:\WINDOWS\system32\snownClean.exe- r0 w; E" ?' U0 |& N6 [0 H
C:\autorun.inf
; ^5 q& @6 y! V' d3 v5 @2 I+ RC:\netdde .exe5 `& D2 Q; ]( a6 W
C:\snown.exe$ h8 w& o# ?, F
其中在c盘根目录下的文件同时也会在其它盘符根目录下生成,以达到双击磁盘重复感染的目的。
) M& ?; R1 s; F5 F) T并且还会在注册表中写入以下键值:5 \5 Z4 T) V% `3 z
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORKDDE
5 g$ j$ n7 o- H/ i0 R, v' ]2 k! x" aHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetworkDDE d' h" Z9 {6 D+ s5 h- ~ M
# Z7 r( A. f! @4 H
如果计算机感染了此病毒,请按照下面的方法解决:
% f' f7 u6 p8 |& M重启计算机进入安全模式,右键点击我的电脑选择“资源管理器”,然后将隐藏文件的属性打开,并选中每个盘符,删除他们根目录下的autorun.inf、netdde .exe、snown.exe等文件,
6 q5 T2 i, b- O% R/ w再删除C:\WINDOWS\system32\netdde .exe(注意是有空格的文件)、C:\WINDOWS\system32\snownClean.exe文件。' z2 @, v( Z) k8 `. D
4 l: Z2 e% C- p" r: @
如果病毒删除后盘符已经无法双击打开(双击提示选择打开方式),请按照下面的方法修复:- n) E1 E3 @/ L! h- k: _/ u
在开始--运行中输入“regedit”,打开注册表找到
4 w V0 O8 @! n: P3 G7 I) y! @[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2]7 }/ K7 K9 I3 q' H d
在此项的下面会有很多子项,在子项下面又会有shell项,选中shell项下面的子项,在右边就会看到有链接到病毒的相关键值,这时需要将链接到病毒的shell项删除就可以修复这个问题了,如果不能确定,在删除前建议先将注册表导出备份以免删错。 |
评分
-
查看全部评分
|
IP卡
狗仔卡
发表于 2007-9-27 09:04:27
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡