|
|
关于“九月的雪”病毒+ u' v' E ]* |; ~5 L: u) A
该病毒运行后,屏幕会被整个的黑屏代替,随后出现片片雪花下落,同时出现一首诗“九月的雪”。这时鼠标不能进行任何操作,在进程中会有snownClean.exe和netdde .exe进程,重启计算机后此病毒会在开机后自动运行。& w7 U! Y3 J3 u1 P% [6 D+ d
$ m8 R" c$ e& }# I2 |( {
现象:" u0 |! R0 A( j( R- ]# S
此病毒会创建以下文件(下列文件均带有隐藏属性)7 |4 o% q* {. @+ A: x/ D- Z
C:\WINDOWS\system32\netdde .exe(注意正常的系统文件叫netdde.exe,病毒文件在末尾多了一个空格)
B$ X6 C! F, D) l2 P9 K4 MC:\WINDOWS\system32\snownClean.exe# h: Y+ ~/ E9 M% z$ p7 L) K* l
C:\autorun.inf1 b2 U6 \# d# \( Z; Y4 v; Q
C:\netdde .exe
8 q" N" \ n8 c, J$ f2 [! uC:\snown.exe
8 D/ [6 y/ g- ^; U; O. D9 K其中在c盘根目录下的文件同时也会在其它盘符根目录下生成,以达到双击磁盘重复感染的目的。3 N: N% o5 g% z8 d9 G6 \
并且还会在注册表中写入以下键值:
/ j, ?0 b% o5 A& q+ d( T3 UHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORKDDE
7 i/ ~" a* h7 ~" P q$ DHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetworkDDE
; o* s/ X5 C, f1 P. [! Y$ V N5 C6 n6 c" }% o0 R: c
如果计算机感染了此病毒,请按照下面的方法解决:! d9 E$ `$ D% b1 f& ]
重启计算机进入安全模式,右键点击我的电脑选择“资源管理器”,然后将隐藏文件的属性打开,并选中每个盘符,删除他们根目录下的autorun.inf、netdde .exe、snown.exe等文件,
- U6 `- C. R' U, E9 Q* E0 W再删除C:\WINDOWS\system32\netdde .exe(注意是有空格的文件)、C:\WINDOWS\system32\snownClean.exe文件。2 A6 U; @/ w2 E" c' v9 Y. g. [
7 \" `0 }) a1 C: O4 J6 I: C如果病毒删除后盘符已经无法双击打开(双击提示选择打开方式),请按照下面的方法修复:; J+ e, n$ C c) b, x
在开始--运行中输入“regedit”,打开注册表找到
: u4 T6 x& A' f5 G$ X3 Z[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2]
' \/ _# g+ P* j' B4 f+ i# v0 D% p/ |在此项的下面会有很多子项,在子项下面又会有shell项,选中shell项下面的子项,在右边就会看到有链接到病毒的相关键值,这时需要将链接到病毒的shell项删除就可以修复这个问题了,如果不能确定,在删除前建议先将注册表导出备份以免删错。 |
评分
-
查看全部评分
|
IP卡
狗仔卡
发表于 2007-9-27 09:04:27
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡