桌面浮现骷髅头
安全维护
读者求助:不久前,我收到一个邮件,由于邮件地址酷似我一位朋友的,所以我不加思索就双击运行附件中的文档,可是运行后没有出现文档窗口,当时我就有一种预感,我中毒了。
当我打开任务管理器想查看进程时,任务管理器莫名奇妙地被关闭了。退出邮箱,在桌面看到多出一个骷髅头(图1)。系统真的很慢,有的时候系统被锁定而无法操作, 重新启动系统很快又出现这种情况,该怎么解决这个问题?
病毒是暴风一号
我们通过分析和推理可以认定该读者电脑中了时下非常火爆的“暴风一号”病毒。
该病毒在今年1月出现,每天都有数万台电脑感染该病毒,是1月最受关注的病毒。该病毒除了会显示骷髅头的图片外,还会扫描所有磁盘,一旦发现磁盘中的文件夹,就会将文件夹的属性设置为“隐藏”、“系统”、“ 只读”。
该病毒会隐藏搜索到的文件夹,然后为文件夹创建一个1KB的快捷方式,用户点击快捷方式,激活病毒文件才进入被隐藏的文件夹。除此以外,每当系统日期中的月和日数字相等的时候,病毒就会每隔 10 秒打开并关闭光驱。如果病毒发现regedit.exe、taskmgr.exe 等进程,就会调用ntsd命令来结束这些进程,使用户无法利用系统自带工具进行修复。
病毒清除方案
该病毒比较难缠,有的杀毒软件可以查杀,有的杀毒软件却不行。如果你的杀毒软件不能查杀该病毒,可以使用专杀工具(下载地址:http:/www.shudoo.com/bzsoft)。运行专杀工具后,选择窗口中的“全盘扫描”,然后再点击“开始扫描”按钮进行扫描(图2)。
由于该病毒的破坏性非常强而且有多重属性,因此当专杀工具分析扫描完成以后,会要求用户重新启动系统才能彻底查杀,该专杀工具还可以修复被病毒破坏的系统属性。除了使用专杀工具,还有其他清除方法吗?
如果你有一定的安全基础知识,也可以不用专杀工具,手工清除病毒。运行进程管理工具Wsyscheck,结束所有的wscript.exe进程以及路径为C:\windows\system\svchost.exe的进程。
接着点击Wsyscheck界面中的“注册表管理”标签,找到HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load,双击打开load查看其内容指向的文件,切换到软件的“文件管理”标签,将load指向的文件删除,再将每个磁盘根目录下的autorun.inf、.vbs文件删除,最后运行系统工具SREng,点击“系统修复→文件关联”,点击“修复”按钮就可以修复被病毒窜改的文件关联了。