Posted on 2006-12-05 12:40
Computerboy 阅读(1294)
评论(1) 编辑 收藏 所属分类:
安全技术
一个顽固型病毒 Auto or sxs.exe
这是一个比较顽固的病毒(确切的说是木马),专门盗取别人的QQ为乐,
古人云:我的产业岂能由他人支配乎,嘿嘿。
昨天在家里调试路由,能上网了,大家高兴异常,用哥们的移动硬盘不小心中招。
今天上班发现想清除之,岂知它比较顽固,总在电脑里常驻。
一开始我以为就是一个Auto,也没有大的威胁,岂知我在显示所有文件时出了问题,
居然看不到它的位置。我在显示,发现他不能显示所有文件,每次都自动的给你还原回去。
这我才发现问题的严重性,上网找了一下,说的也很多。没有具体的方法。
没有办法,自己来吧。
不过发现有这样一条信息还是不错的。就是说
在系统注册表有一个值是被改动的
CheckedValue
进去看一下
运行——regedit
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,
发现CheckedValue值是0,我们知道,这个值是控制系统所有文件是否显示,0 为不显示,1 为显示。
看来果然是它的问题,删除之,重新建立一个。
但是我建立CheckedValue 时发现系统提示已经有一个存在,无法新建,但是我已经删除了。
看来还是有问题,
进入
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
下发现有一个值很可疑。
uyanyh
它的地址是指向 c:\windows\system32\lienrn.exe
删除之,但是问题又来了。删除之后,它有自动出现一个,改名之后还是会自动出现一个。
怪事年年有,今年特别多。
没有办法,找这个值吧。
uyanyh 搜索注册表。终于发现它的踪迹,删除之。然后按照以上方式,
新建一个CheckedValue 的Dword值 ,值为1
这样系统终于能显示了。把 sxs.exe 和 autorun.inf。删除。系统正常了。
虽然表面上看似一个简单的东西,但是却花费了我一个半小时的时间。