飞语流星

正式会员

贴子 1174

精华 0

积分 589

信用 0

竞猜 0

魅力 3

威望 0

现金 0 CZB

银行 0 CZB

黄金 0

比特币 0

注册时间 2005-11-16

发表于:2006-08-11 11:08:12   |  显示全部帖子   |  本帖随机奖励楼主:0 CZB   |  转账至  飞语流星

手工清除MP3和U盘ROSE病毒两例

最近……确切说是昨天,两个人连续打电话过来,说这段时间电脑不太对头,要我过去看看。二话不说,拎起来本本和CD包就去了。

根据他们说的,系统超级慢,比原来慢许多,而且有时候还自动重启,不能关机等。杀毒软件杀不掉,HOHO,我问他们用什么杀软,瑞星……晕!很正常,不过也不太正常,像这样的症状一般是蠕虫所致,瑞星再怎么杀蠕虫还是有点本事的啊,怎么会杀不掉呢??

去了以后先打开“我的电脑”,双击每个硬盘盘符,发现确实很慢,打开以后发现那哥们已经显示了隐藏文件,在D盘和E盘下发现一个可疑文件:Rose,图标是个VB6.0的可执行程序,并且还有一个Autoorun文件,记事本类型的图标,呵呵,这个病毒还比较弱智,明摆着嘛~Autorun.inf控制启动激活Rose.exe。由于上次有了删除KB20060111的经验,这次我打开任务管理器,关闭了Rose进程,然后回到资源管理器,Shift+Del……NND~居然删不掉!说文件正在使用!我明明已经杀了进程了啊。然后我打开E盘,没反映~就用资源管理器视图打开了,然后删除,嗯,不错,确实能删除了。然后重启电脑,进D盘,再删除,还是删不掉,再打开E盘,居然又出现了!!打开进程管理器,ROSE.EXE竟然重返江湖!

初步怀疑是与Windows某些启动守护进程绑定了,然后切换到安全模式,打开任务管理器——还有ROSE.EXE!疯了都~~

怎么办?

杀毒软件早试过了,NOD32——我最信赖的杀软都提示已经清除了,但是再扫描还是存在,并且不能再删除。

回到正常模式,注意了一下硬盘分区格式。呵呵,这哥们也是一个菜菜,都用的FAT32文件系统。然后翻出来我那张经典的98启动盘,光驱启动,进了DOS。先在C盘盘符下使用ATTRIB -H -R -S去掉所有文件的隐藏、只读、系统属性,依次干掉其他硬盘里面的,然后DEL ROSE.EXE和DEL AUTORUN.INF(其中一次把扩展名写成INI了,提示找不到文件~晕~),然后重启计算机回到Windows。打开任何盘符——没问题了,打开任务管理器,ROSE.EXE进程消失,搞定!

和KB20060111一样,目前没有任何一款杀毒软件可以查杀出该病毒。估计很快就有了。它的主要传播途径是U盘和MP3等移动存储介质,有人就说是为了给即将毕业的毕业生们制造点小麻烦,呵呵,毕竟他们使用这些东西的几率在目前是最大的~而且这个病毒从图标上基本可以判断是用VB6写出来的,看来是个VB的高手啊~崇拜一把,可惜被人骂死咯~
楼主
编辑   |    引用    回帖
关闭    高亮    置顶   |    移动    回收站   |    -6删主题    删主题    |