关于u盘病毒的几个问题
现在的u盘病毒越来越厉害了,以前还可以尝试着手动杀除,现在基本上是束手无策了。请问现在的u盘病毒(比如流行的pagefile,auto.exe)它是怎样隐藏系统文件的?与注册表有关吗?是怎样阻止好多的杀毒软件运行的(包括冰刃,费尔进程管理,qqkav等)?改名子已经完全没用了!除了重装系统外还有有什么方法可解决(主要是上述三个问题的解决方式)? 一般是这个:HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,下面CheckedValue键值修改为1 是显示,0是隐藏。
不过,病毒会把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,类型为REG_SZ,并且把键值改为0!我们将这个改为1是毫无作用的。大家要看清楚CheckedValue后面的类型,正确的是“RED_DWORD”而不是“REG_SZ”(有部分病毒变种会直接把这个CheckedValue给删掉,只需和下面一样,自己再重新建一个就可以了)。
ntsd,tskill dos下结束进程的命令
可以查看是哪个进程占用资源多,杀掉这个进程可以用NTSD、tasklist和tskil命令解决。
NTSD用法:在开始运行处输入
ntsd -c q -p PID
把最后那个PID,改成你要终止的进程的ID。如果你不知道进程的ID,任务管理器->进程选项卡->查看->选择列->勾上"PID(进程标识符)",然后就能看见了。
tasklist和tskill命令用法:
tasklist能列出所有的进程,和相应的信息。tskill能查杀进程,语法很简单:tskill 程序名!!
tasklist /svc 列出系统运行的所有程序,以及相应的进程信息.
ntsd -c q -p PID 结束进程.PID为进程ID.
此命令可以用来结束病毒程序.
[[i] 本帖最后由 善若水 于 2008-8-2 22:17 编辑 [/i]] 不是很清楚啊 , USBCleaner U盘病毒专杀工具 试一下这个软件吧
去看看这个贴[url]http://www.520diannao.com/viewthread.php?tid=49453&extra=page%3D1%26amp%3Bfilter%3D0%26amp%3Borderby%3Ddateline%26amp%3Bascdesc%3DDESC&frombbs=1[/url] 在运行里输入gpedit.msc打开组策略!
然后在管理模板--系统--右边找到"关闭自动播放"
选择已启用然后选择所有驱动器!
这样就可以阻止自动运行了!!
还可以用专门的U盘免疫!在U盘根目录建立一个autorun.inf的文件夹! 1。病毒隐藏系统文件,和注册表有关。
2。病毒禁用杀毒软件的原理,可能通过以下方法:
1.通过修改注册表
将 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 下的杀毒软件启动项修改成病毒路径,在重启后杀毒软件就无法运行,而运行的却是病毒.删除病毒后,会弹出错误框,说加载XX失败,找不到指定模块.这也叫做IFEO挟持.是比较常用的.
2.通过将杀毒软件关闭后,删除其主程序.这是最简单的方法.
3.通过批处理.
将杀毒软件结束后,运行指定批处理,它会将杀毒软件的关键DLL删除,在该目录下创建与此DLL同名的文件夹,再在该文件夹下创建一个不可删除的特殊文件夹.
这样杀毒软件会因为缺少组件无法运行,修复时会因为同名文件夹无法创建新的DLL文件,导致修复后依旧无法使用.删除同名文件夹时会因为里面的特殊文件夹,出现拒绝访问错误,无法删除.这是比较聪明的方法.(解决时,只要在CMD中用MD删除特殊文件夹即可,删除时填的文件名是它显示的名称后加.\,这才是它真正的文件名)
4.修改杀毒软件主程序.
修改杀毒软件主程序,在其导入中加入病毒DLL.删除病毒后,启动杀毒软件时会出现"因缺少XX文件,该程序无法启动,通过重新安装该程序可解决问题".这种方法比较少见,我见过是修改EXPLORER.EXE文件的,其实把它用在杀毒软件上也是可以的.解决方法是修复或复制一个正常的程序).这种方法的技术要求高.
5.删除杀毒软件启动项
病毒运行后,会删除在注册表中搜索到的所有杀毒软件启动项,使电脑重启后杀毒软件全部不能运行.
6.结束进程
通过监视计算机进程,查找到如RAV.EXE,RAVMON.EXE等杀毒软件进程就全部结束,导致杀毒软件一开起来就被关闭,无法正常工作.
7.修改时间
不懂是不是BUG,单把系统时间调成特定时间,一些杀毒软件的服务就会启动失败,导致杀毒软件运行失败.所以,中了一些病毒后,系统时间会被莫名其妙的修改.可以用晴朗的天空的方法防止系统时间被修改.但是这样设置后,自己也无法修改系统时间了.
3。病毒主要在防,上面两位版主的方法都可以。 非常感谢善若水的精彩分析,获益匪浅!就不知病毒是修改哪几项注册表隐藏文件的,我想应该不是单纯的hiden项吧。 还有一个问题,有没有强制结束进程的dos命令? 非常感谢
页:
[1]