|
|
关于“九月的雪”病毒
5 u5 Q% o3 t. A7 P, q+ f该病毒运行后,屏幕会被整个的黑屏代替,随后出现片片雪花下落,同时出现一首诗“九月的雪”。这时鼠标不能进行任何操作,在进程中会有snownClean.exe和netdde .exe进程,重启计算机后此病毒会在开机后自动运行。: r, M3 Y5 J ~8 F3 N
4 E: g- B% h2 U3 w
现象:
1 D" G* d Z& W' _7 g' V此病毒会创建以下文件(下列文件均带有隐藏属性)
+ Y0 _9 ]4 f: `8 {3 BC:\WINDOWS\system32\netdde .exe(注意正常的系统文件叫netdde.exe,病毒文件在末尾多了一个空格)
/ t2 R, w& ~, ?' { N1 UC:\WINDOWS\system32\snownClean.exe: ]: U* u/ n( H: [) F2 `* J
C:\autorun.inf$ i# o! Y1 C, |! L# b1 Y5 Y* ~ ^
C:\netdde .exe, u& g) W- d# T
C:\snown.exe' u) w0 h. K9 \* ?: v: x
其中在c盘根目录下的文件同时也会在其它盘符根目录下生成,以达到双击磁盘重复感染的目的。
; M, J) S0 k, w+ p* A* B" J% q+ Y并且还会在注册表中写入以下键值:
( L5 V/ \2 x+ t6 kHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORKDDE4 z1 R2 ~2 A" `! ]6 {
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetworkDDE% p8 N- l1 s6 a& o) P# {
) }& j2 c' F' ?2 X9 ]如果计算机感染了此病毒,请按照下面的方法解决:
# y9 i# L2 d* V' Y; ^/ v. a重启计算机进入安全模式,右键点击我的电脑选择“资源管理器”,然后将隐藏文件的属性打开,并选中每个盘符,删除他们根目录下的autorun.inf、netdde .exe、snown.exe等文件,4 I+ I! m2 D" R' \
再删除C:\WINDOWS\system32\netdde .exe(注意是有空格的文件)、C:\WINDOWS\system32\snownClean.exe文件。& \: ~, I+ F& G4 C
9 {1 ~7 `6 e& ~( g6 Y如果病毒删除后盘符已经无法双击打开(双击提示选择打开方式),请按照下面的方法修复:
3 A5 {- W9 U. k0 J c/ w在开始--运行中输入“regedit”,打开注册表找到/ Q! R# w7 j6 Y+ x' f& t1 T$ f5 h
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2]" ?- e. R5 g$ R2 w$ s
在此项的下面会有很多子项,在子项下面又会有shell项,选中shell项下面的子项,在右边就会看到有链接到病毒的相关键值,这时需要将链接到病毒的shell项删除就可以修复这个问题了,如果不能确定,在删除前建议先将注册表导出备份以免删错。 |
评分
-
查看全部评分
|
IP卡
狗仔卡
发表于 2007-9-27 09:04:27
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡