一个U盘病毒,差点让我重装系统
2007-04-02 09:31
253 查看
前两天把U盘借给别人打印,拿回来后忘了用右键打开了,一个双击之后立即后悔了:U盘在打印室的机器上染上了病毒。现象有:
1、任务管理器被禁用
2、文件夹选项被禁用
3、隐藏文件、系统文件、文件扩展名全部被隐藏
4、注册表启动项中添加system32/wininit.exe
昨晚折腾了半天,又是删除启动项,又是用兔子终止winsystem.exe进程,但是病毒文件都被隐藏了看不到,于是想到一个办法:我装过vmware,上面有Linux,而且已经用vmware的工具把windows下的每个盘符都挂载到Linux里了(在mnt/hgfs下),于是运行虚拟机的linux,在Linux下把病毒文件改名了(其实后来想起不用这么费事,在cmd下用dir、attrib等命令即可实现)。但是重启后问题依旧,发现病毒重新生成了文件,看来还是不够彻底。其实我知道,U盘病毒肯定会在每个盘符下建个AUTORUN之类的文件。
在这个过程中,下载了一个usbcleaner,还挺好用的,直接恢复了任务管理器,是HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System下有个DisableTaskMgr键,把它的值设为0即可。也可以运行组策略管理器(gpedit.msc),设置“用户配置/管理模板/系统/Ctrl+Alt+Del 选项”,把删除“任务管理器” 属性中的“设置”选项卡中点选“已禁用”或“未配置”单选项。
后来在网上查到了第5条:
5、注册表项的windows NT/currentversion/winlogon中的userinit中添加了system32/winsystem.exe
于是以为userinit键不必要,就把它改名了,结果今天早上来后就登录不了系统了,输入密码登录后就自动注销出来,郁闷。曾一度以为得重装了。后来在别的机器上修好了。以下操作均在另外那台机器上执行:
1、运行计算机管理,操作-》连接到另一台计算机,然后输入我的机器的IP地址,连接成功
2、在“服务”里把remote registry 服务启动 (我平时是把它禁用了的)
3、运行regedit,打开注册表。文件-》连接网络注册表,输入我的机器的IP,连接成功
4、把windows NT/currentversion/winlogon中的userinit还原成正常值,即只带C:/WINDOWS/system32/userinit.exe。
然后回到我的机器上,登录成功。
这时我的文件夹选项还没恢复,在网上找了一下,也是用组策略改回来,如下:
用户配置→管理模板→Windows组件→Windows资源管理器”,把“从‘工具’菜单删除‘文件夹选项’菜单”设为“已禁用”。
再看一下,文件夹选项已经回来了,把扩展名、系统文件、隐藏文件全都显示出来,可以看到每个盘符下都有一个autorun.inf和kernaldrive.exe,就是病毒了。那个autorun.inf是1K大小,但是用记事本打开时,会看到是空白一片,差点被迷惑,好在看到右边有滚动条,原来故意空出一片来迷惑人的,内容在后面呢,为:
[autorun]
open=kerneldrive.exe
shellexecute=kerneldrive.exe
shell/Auto/command=kerneldrive.exe
shell=Auto
一一删除,搞定。
1、任务管理器被禁用
2、文件夹选项被禁用
3、隐藏文件、系统文件、文件扩展名全部被隐藏
4、注册表启动项中添加system32/wininit.exe
昨晚折腾了半天,又是删除启动项,又是用兔子终止winsystem.exe进程,但是病毒文件都被隐藏了看不到,于是想到一个办法:我装过vmware,上面有Linux,而且已经用vmware的工具把windows下的每个盘符都挂载到Linux里了(在mnt/hgfs下),于是运行虚拟机的linux,在Linux下把病毒文件改名了(其实后来想起不用这么费事,在cmd下用dir、attrib等命令即可实现)。但是重启后问题依旧,发现病毒重新生成了文件,看来还是不够彻底。其实我知道,U盘病毒肯定会在每个盘符下建个AUTORUN之类的文件。
在这个过程中,下载了一个usbcleaner,还挺好用的,直接恢复了任务管理器,是HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System下有个DisableTaskMgr键,把它的值设为0即可。也可以运行组策略管理器(gpedit.msc),设置“用户配置/管理模板/系统/Ctrl+Alt+Del 选项”,把删除“任务管理器” 属性中的“设置”选项卡中点选“已禁用”或“未配置”单选项。
后来在网上查到了第5条:
5、注册表项的windows NT/currentversion/winlogon中的userinit中添加了system32/winsystem.exe
于是以为userinit键不必要,就把它改名了,结果今天早上来后就登录不了系统了,输入密码登录后就自动注销出来,郁闷。曾一度以为得重装了。后来在别的机器上修好了。以下操作均在另外那台机器上执行:
1、运行计算机管理,操作-》连接到另一台计算机,然后输入我的机器的IP地址,连接成功
2、在“服务”里把remote registry 服务启动 (我平时是把它禁用了的)
3、运行regedit,打开注册表。文件-》连接网络注册表,输入我的机器的IP,连接成功
4、把windows NT/currentversion/winlogon中的userinit还原成正常值,即只带C:/WINDOWS/system32/userinit.exe。
然后回到我的机器上,登录成功。
这时我的文件夹选项还没恢复,在网上找了一下,也是用组策略改回来,如下:
用户配置→管理模板→Windows组件→Windows资源管理器”,把“从‘工具’菜单删除‘文件夹选项’菜单”设为“已禁用”。
再看一下,文件夹选项已经回来了,把扩展名、系统文件、隐藏文件全都显示出来,可以看到每个盘符下都有一个autorun.inf和kernaldrive.exe,就是病毒了。那个autorun.inf是1K大小,但是用记事本打开时,会看到是空白一片,差点被迷惑,好在看到右边有滚动条,原来故意空出一片来迷惑人的,内容在后面呢,为:
[autorun]
open=kerneldrive.exe
shellexecute=kerneldrive.exe
shell/Auto/command=kerneldrive.exe
shell=Auto
一一删除,搞定。
相关文章推荐
- 重装系统后Myeclipse遇到的项目配置问题--一个菜鸟的经历!
- 番外篇:因为一个固态导致的——系统重装与JAVA软件环境下载安装配置
- 电脑重装系统变成一个C盘,其他D,E,F盘数据消失都没有了-艾奇恢复软件
- 重装系统遇到的一个问题
- 一个Bug 差点让服务器的文件系统崩溃
- 重装系统时候的一个问题
- 笔记本硬盘重装系统后只有一个盘的数据恢复方法
- 重装系统遇到的一个问题
- 重装电脑系统Win7并激活、删除其中一个系统、修复电脑 发出尖锐的 嘀嘀嘀嘀嘀 警报生声
- 一个划时代的病毒“鬼影”袭击WinXP系统(重装无法清除)如何防范查杀?
- 作为一个开发人员,重装系统后要安装的工具
- 新手如何装一个完美系统 使用深度重装系统教程
- 重装系统分区时,发现一个叫LVM的东西,找出来和大家分享
- XP系统中重装IE浏览器弹出一个无法继续运行的提示框
- 重装系统后有一个磁盘打不开,提示没有权限
- Win8重装系统后桌面只有一个回收站图标怎么办
- 重装电脑系统Win7并激活、删除其中一个系统、修复电脑 发出尖锐的 嘀嘀嘀嘀嘀 警报生声
- 关于重装系统后,Windows和Linux双系统只能进入一个的问题
- GHOST重装系统只剩一个C盘 数据恢复方法
- Android - 在一个应用程序中启动另外一个已经安装的应用程序或系统程序