|
|
关于“九月的雪”病毒
2 ~( y. L* F3 C4 U2 s0 Z该病毒运行后,屏幕会被整个的黑屏代替,随后出现片片雪花下落,同时出现一首诗“九月的雪”。这时鼠标不能进行任何操作,在进程中会有snownClean.exe和netdde .exe进程,重启计算机后此病毒会在开机后自动运行。
7 a. E# s& n- p, L9 U; \1 F: _; }2 {5 O8 r2 E# d$ S% a, U8 @
现象:
9 k$ i, V4 n1 |此病毒会创建以下文件(下列文件均带有隐藏属性)+ x& O( ~( S6 H2 C F6 M" ~ j
C:\WINDOWS\system32\netdde .exe(注意正常的系统文件叫netdde.exe,病毒文件在末尾多了一个空格)
7 X5 _. Y9 m$ E1 fC:\WINDOWS\system32\snownClean.exe! h# y- T7 s- K# S
C:\autorun.inf
& ?) \& [5 d& q P( hC:\netdde .exe
% P; \9 A/ O; M* D3 u9 t% wC:\snown.exe
( m/ c T- [0 Q3 `其中在c盘根目录下的文件同时也会在其它盘符根目录下生成,以达到双击磁盘重复感染的目的。
9 k9 j( h5 v* p, q [9 j并且还会在注册表中写入以下键值:7 ^) E& O, E! M4 z9 p
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORKDDE
' _/ ]0 f* z0 jHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetworkDDE
, A0 d7 p+ Q& r- m7 s( u" g* j3 r; a9 ~" h% U
如果计算机感染了此病毒,请按照下面的方法解决:, ?, G( J+ R2 D. j; u8 h. p" k8 F
重启计算机进入安全模式,右键点击我的电脑选择“资源管理器”,然后将隐藏文件的属性打开,并选中每个盘符,删除他们根目录下的autorun.inf、netdde .exe、snown.exe等文件,+ q; o6 z/ k) y& M" F) @! m
再删除C:\WINDOWS\system32\netdde .exe(注意是有空格的文件)、C:\WINDOWS\system32\snownClean.exe文件。
+ o' Z4 I Y, q+ N+ ]- I$ g6 m+ f3 x Y0 U' U+ ?+ k
如果病毒删除后盘符已经无法双击打开(双击提示选择打开方式),请按照下面的方法修复:
5 ^$ R1 Y% t: K/ @; c在开始--运行中输入“regedit”,打开注册表找到
6 q! `9 `1 ~# h! }4 e; ~6 }5 r0 S[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2]
/ q& Y1 S" a# r1 x5 H+ `在此项的下面会有很多子项,在子项下面又会有shell项,选中shell项下面的子项,在右边就会看到有链接到病毒的相关键值,这时需要将链接到病毒的shell项删除就可以修复这个问题了,如果不能确定,在删除前建议先将注册表导出备份以免删错。 |
评分
-
查看全部评分
|
IP卡
狗仔卡
发表于 2007-9-27 09:04:27
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡