查看完整版本: 开始菜单乱飞

开始菜单乱飞

<P><BR>工具解决方法</P><P>提醒:<BR>如果运行无效或者提示错误,请先安装目录中 Windows Script Host 5.6 的补丁</P><P>感染途径:<BR>通过MP3/U盘等的自动运行功能传播(AutoRun.inf).程序本身使用VB编写.</P><P>感染机理:<BR>病毒一旦开始运行,既会生成一六字符长度随机文件名,并以此为名将自己复制到 %systemroot%\system32\ 下,修改HKCR中的Load以及HKLM中的Run注册表项来实现自动运行,并且运行时会自动禁止注册表编辑器以及任务管理器.由于此时大多会使用命令行模式,所以病毒同样修改了CMD的启动初始化程序(AutoRun),达到自身启动的目的.<BR>同时,程序会不断监控可移动设备以伺机感染可移动设备并进行感染.</P><P><BR>解决办法：<BR>双击执行专杀<BR>程序执行后会有如下动作:<BR>1.扫描内存,删除所有可疑进程 (文件大小为 61440 字节);<BR>2.扫描注册表,将程序所有留下来的自启动键值全部干掉;<BR>3.恢复系统默认设置,启用注册表编辑器以及任务管理器.</P><P><BR>手动方法</P><P>1.重启进入安全模式（启动时按F8）<BR>2.运行——〉MSCONFIG，在 “启动”&nbsp;&nbsp; 中找到自动启动的程序<BR>注意以下该程序的路径<BR>除了X：\WINDOWS\SYSTEM32\CTFMON.EXE<BR>凡是以X：\WINDOWS\SYSTEM32\xxxx.EXE的启动程序都不选<BR>把可疑的程序路径记下来<BR>3.重新启动，正常进入系统<BR>4.进入X：\WINDOWS\SYSTEM32\，把刚才记下的文件备份到其他文件夹下（防止误删），然后删除xxxx.EXE</P><P>5.运行——〉Gpedit.msc<BR>6.用户设置——〉管理模板——〉系统——〉Ctrl+Alt+Del选项<BR>页面的右侧的“删除任务管理器“<BR>打开下所示的“删除任务管理器”属性设置页面<BR>选中“禁用”<BR>点击“确定”则解禁“Ctrl+Alt+Del”来打开任务管理器了</P><P>7.仍在“组策略”对话框。<BR>8.——〉用户配置—〉管理模板—〉系统，<BR>在右侧栏中双击“阻止访问注册表编辑工具”项可以打开“阻止访问注册表编辑工具 属性”对话框<BR>选择“已禁用”单选项<BR>单击“确定”按钮，即可恢复禁用的注册表编辑器。<BR>9.重启<BR>如若不正常，按上面方法重找一遍<BR>要是一切正常，把那些文件彻底清除</P><P>upload/2006_12/06120714034461.rar</P><br/><br/>