|
|
关于“九月的雪”病毒) v8 m/ _- i+ a: H- ~
该病毒运行后,屏幕会被整个的黑屏代替,随后出现片片雪花下落,同时出现一首诗“九月的雪”。这时鼠标不能进行任何操作,在进程中会有snownClean.exe和netdde .exe进程,重启计算机后此病毒会在开机后自动运行。0 o+ e9 I$ S% G5 O
: D8 P, f, Y+ E1 H( G7 r- p" w/ S现象:
6 k& l* ]6 q6 L# B, v2 t; `此病毒会创建以下文件(下列文件均带有隐藏属性)
) V& Z! w* p( M' yC:\WINDOWS\system32\netdde .exe(注意正常的系统文件叫netdde.exe,病毒文件在末尾多了一个空格)
: M8 @6 ]( F' J+ z- n) l" X! T RC:\WINDOWS\system32\snownClean.exe
2 U2 O* k8 A4 q; ^0 gC:\autorun.inf5 G0 ?. D: @; u
C:\netdde .exe( I r4 y/ j/ l: i+ _
C:\snown.exe4 f2 J: I* z( [" S# w$ _) j
其中在c盘根目录下的文件同时也会在其它盘符根目录下生成,以达到双击磁盘重复感染的目的。4 D+ _) t# `5 m: A/ l; i6 Z$ T
并且还会在注册表中写入以下键值:! e2 Q- z5 c7 S, y
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORKDDE
- L) Z* }% L1 k6 @) OHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetworkDDE$ `& h9 n/ y" I2 C' D3 m' G3 R
0 v/ R2 A$ o' v X4 S如果计算机感染了此病毒,请按照下面的方法解决:6 ~: W/ G. m, w; S' a4 m
重启计算机进入安全模式,右键点击我的电脑选择“资源管理器”,然后将隐藏文件的属性打开,并选中每个盘符,删除他们根目录下的autorun.inf、netdde .exe、snown.exe等文件,
2 E# o. q2 r2 B+ h3 U( G9 T v再删除C:\WINDOWS\system32\netdde .exe(注意是有空格的文件)、C:\WINDOWS\system32\snownClean.exe文件。
% h& q) P# y7 }* A- l5 O
; ]1 U$ U& c0 T% m' `& t如果病毒删除后盘符已经无法双击打开(双击提示选择打开方式),请按照下面的方法修复:
2 |( h$ f4 O+ p0 ~! P! N1 m% [8 u在开始--运行中输入“regedit”,打开注册表找到
7 T, D& v; H; v: a/ l z- m[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2]7 R9 g& u7 o q
在此项的下面会有很多子项,在子项下面又会有shell项,选中shell项下面的子项,在右边就会看到有链接到病毒的相关键值,这时需要将链接到病毒的shell项删除就可以修复这个问题了,如果不能确定,在删除前建议先将注册表导出备份以免删错。 |
评分
-
查看全部评分
|
IP卡
狗仔卡
发表于 2007-9-27 09:04:27
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡