|
|
关于“九月的雪”病毒
7 p5 q' W a; Q3 Y- c% g2 g该病毒运行后,屏幕会被整个的黑屏代替,随后出现片片雪花下落,同时出现一首诗“九月的雪”。这时鼠标不能进行任何操作,在进程中会有snownClean.exe和netdde .exe进程,重启计算机后此病毒会在开机后自动运行。
" P0 V* L/ A* @, l, y6 n1 A* X) D+ g( @% _ d
现象:
7 M; }0 Q g9 H4 c# L! k! v1 K) V此病毒会创建以下文件(下列文件均带有隐藏属性)" J( e+ ^* _3 O) R5 C3 p( T
C:\WINDOWS\system32\netdde .exe(注意正常的系统文件叫netdde.exe,病毒文件在末尾多了一个空格)
$ c F5 h, H: Y/ dC:\WINDOWS\system32\snownClean.exe2 c) W; P a- @1 R! c! d" y
C:\autorun.inf L! z3 P5 i! u# d/ Z
C:\netdde .exe$ y X9 T r0 M2 r2 W) c
C:\snown.exe
1 j' u8 C: x% {8 Y其中在c盘根目录下的文件同时也会在其它盘符根目录下生成,以达到双击磁盘重复感染的目的。 V3 U$ w4 f8 o
并且还会在注册表中写入以下键值:
) W& q8 }4 |9 _1 a, qHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORKDDE; c. W% N; H3 w1 @6 j
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetworkDDE
( y# N) M1 y/ k( T4 P- c6 T% I- O! \2 e1 B0 D b; d V
如果计算机感染了此病毒,请按照下面的方法解决:. q' o. }: s/ ?+ b
重启计算机进入安全模式,右键点击我的电脑选择“资源管理器”,然后将隐藏文件的属性打开,并选中每个盘符,删除他们根目录下的autorun.inf、netdde .exe、snown.exe等文件,
( E6 |2 q9 |- D! {! K D3 F: v再删除C:\WINDOWS\system32\netdde .exe(注意是有空格的文件)、C:\WINDOWS\system32\snownClean.exe文件。1 w" x/ ^. L; l7 g5 r
( X% r/ `7 S) F3 [6 i) o) @3 t如果病毒删除后盘符已经无法双击打开(双击提示选择打开方式),请按照下面的方法修复:! T$ w) ]/ X& F, S; p9 V0 }7 h D
在开始--运行中输入“regedit”,打开注册表找到' e" c+ a" y. Y$ j& q4 W
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2]4 ^& N0 [: b, |" d
在此项的下面会有很多子项,在子项下面又会有shell项,选中shell项下面的子项,在右边就会看到有链接到病毒的相关键值,这时需要将链接到病毒的shell项删除就可以修复这个问题了,如果不能确定,在删除前建议先将注册表导出备份以免删错。 |
评分
-
查看全部评分
|
IP卡
狗仔卡
发表于 2007-9-27 09:04:27
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡