|
|
关于“九月的雪”病毒3 {9 o* o5 }0 ]( t0 [$ l" o w
该病毒运行后,屏幕会被整个的黑屏代替,随后出现片片雪花下落,同时出现一首诗“九月的雪”。这时鼠标不能进行任何操作,在进程中会有snownClean.exe和netdde .exe进程,重启计算机后此病毒会在开机后自动运行。
" R0 h4 T" W; R4 D. A p$ |. t0 i4 c
现象:
U# N3 ]. \" {* r" Y+ R此病毒会创建以下文件(下列文件均带有隐藏属性)
8 ^: k% ?/ e$ |C:\WINDOWS\system32\netdde .exe(注意正常的系统文件叫netdde.exe,病毒文件在末尾多了一个空格)
% u, D1 h& ^2 Q2 ^: ^( M; CC:\WINDOWS\system32\snownClean.exe) l8 ]" K! l5 M
C:\autorun.inf6 ]: S6 X4 L: s" `- E
C:\netdde .exe
: h+ e' D$ ^( w0 ^1 gC:\snown.exe
. \/ L N; o" E其中在c盘根目录下的文件同时也会在其它盘符根目录下生成,以达到双击磁盘重复感染的目的。
' O: K; o# |- Y5 v( ^/ D6 {$ @并且还会在注册表中写入以下键值:
% r8 L: r6 X4 ]) M. J) IHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORKDDE: ^+ \" V- H+ q7 f0 @& c9 a
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetworkDDE3 Z( B1 j' ?* f; r4 v' G) |% e9 {
$ X. y3 ~0 |" [, A5 i
如果计算机感染了此病毒,请按照下面的方法解决:
! T5 |. C6 [, T: T, v3 N重启计算机进入安全模式,右键点击我的电脑选择“资源管理器”,然后将隐藏文件的属性打开,并选中每个盘符,删除他们根目录下的autorun.inf、netdde .exe、snown.exe等文件,
; S3 {0 e* `: Z' Z再删除C:\WINDOWS\system32\netdde .exe(注意是有空格的文件)、C:\WINDOWS\system32\snownClean.exe文件。, C8 W& J* ~$ u/ B& @! c6 A5 I) z
$ @/ |) s5 q, @) p: p% ?9 k如果病毒删除后盘符已经无法双击打开(双击提示选择打开方式),请按照下面的方法修复:
( ]8 ?" c; A9 g在开始--运行中输入“regedit”,打开注册表找到$ ^5 I8 P* r2 s8 u8 H7 b
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2]) o8 v' m4 Y8 z
在此项的下面会有很多子项,在子项下面又会有shell项,选中shell项下面的子项,在右边就会看到有链接到病毒的相关键值,这时需要将链接到病毒的shell项删除就可以修复这个问题了,如果不能确定,在删除前建议先将注册表导出备份以免删错。 |
评分
-
查看全部评分
|
IP卡
狗仔卡
发表于 2007-9-27 09:04:27
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡