|
|
关于“九月的雪”病毒, m2 k9 h7 H- x" e" a
该病毒运行后,屏幕会被整个的黑屏代替,随后出现片片雪花下落,同时出现一首诗“九月的雪”。这时鼠标不能进行任何操作,在进程中会有snownClean.exe和netdde .exe进程,重启计算机后此病毒会在开机后自动运行。4 N) r0 J: y' c: x
# G# ~8 P' [9 _ {( {/ V现象:/ g l& R& k3 Q6 q" E+ G
此病毒会创建以下文件(下列文件均带有隐藏属性)
, K6 V7 H: ~# P* \$ W9 r5 S0 `7 C6 vC:\WINDOWS\system32\netdde .exe(注意正常的系统文件叫netdde.exe,病毒文件在末尾多了一个空格)6 ~0 W5 s& M: q& B
C:\WINDOWS\system32\snownClean.exe
! j) V9 A% F5 QC:\autorun.inf
( }7 P$ o# q! c! t/ S VC:\netdde .exe8 @0 O' O' _! c2 S6 s' c! H. T
C:\snown.exe
% V' ^7 a4 V: W; r! ]$ A其中在c盘根目录下的文件同时也会在其它盘符根目录下生成,以达到双击磁盘重复感染的目的。
, T& e+ `4 R# t0 J$ A' s4 [并且还会在注册表中写入以下键值:
( E [3 b! W! k: R2 ^HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORKDDE
4 ~8 ` [* V1 Z3 ]7 \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetworkDDE7 ^$ J* a. u! i
z' L' ]3 x) t3 l, W1 v9 S如果计算机感染了此病毒,请按照下面的方法解决:
. j! r/ {7 i( P1 {( s重启计算机进入安全模式,右键点击我的电脑选择“资源管理器”,然后将隐藏文件的属性打开,并选中每个盘符,删除他们根目录下的autorun.inf、netdde .exe、snown.exe等文件,- S6 \! [1 ~0 W6 D% F
再删除C:\WINDOWS\system32\netdde .exe(注意是有空格的文件)、C:\WINDOWS\system32\snownClean.exe文件。
i" n! W5 |, h, {6 H7 J' F1 n5 Y) z e0 A, J: _! j
如果病毒删除后盘符已经无法双击打开(双击提示选择打开方式),请按照下面的方法修复:. c" {6 `. ]8 k3 W& ]
在开始--运行中输入“regedit”,打开注册表找到4 Q1 D& v- w" y A- \# R6 ~
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2]
1 |: v/ C5 ^# B" d( f' b在此项的下面会有很多子项,在子项下面又会有shell项,选中shell项下面的子项,在右边就会看到有链接到病毒的相关键值,这时需要将链接到病毒的shell项删除就可以修复这个问题了,如果不能确定,在删除前建议先将注册表导出备份以免删错。 |
评分
-
查看全部评分
|
IP卡
狗仔卡
发表于 2007-9-27 09:04:27
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡