如何收拾随机文件名病毒
网络安全
随机文件名病毒现在越来越猖狂了,作者与之搏斗数月,积累了不少的个人经验,特拿出来与大家分享。下面就以删除比较流行的随机7位字母病毒为例,介绍清除方法。
Step1:下载并运行《冰刃》(软件下载地址:http://www.cpcw.com/bzsoft/) ,点击《冰刃》菜单栏的 “文件→设置 ”,在弹出窗口中勾选“禁止进线程创建”,然后点击“确定”(见图)。
Step2:定位到C:\WINDOWS\system32文件夹,找出最近生成的文件:C:\WINDOWS\system32\随机7位字母组合.exe、C:\WINDOWS\system32\随机7位字母组合.exe(两个文件名不同,例如sybqnub.exe和gwthtis.exe)、C:\WINDOWS\system32\meex.com。
记住3个文件的名称,然后进入《冰刃》的“进程“窗口,分别结束sybqnub.exe和gwthtis.exe的进程。接着,用冰刃强制删除C:\WINDOWS\system32\sybqnub.exe,C:\WINDOWS\system32\gwthtis.exe和C:\WINDOWS\system32\meex.com,又删除各个分区下面的随机7位字母.exe和Autorun.inf,并记住把启动项中的sybqnub.exe和gwthtis.exe删除。
Step3:新建一个记事本,输入代码并另存为1.reg文件,双击它后即可恢复显示隐藏文件的功能,代码如下所示:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"