讀者來信:這兩天我的系統不知道是什麼原因,常常會不定時地彈出一個Limit計時器,倒數15分鐘就自動關機。其間任務管理器和注冊表編輯器都打不開,殺毒軟件也查不出是什麼病毒。沖擊波、震蕩波的專殺工具我也用了,同樣沒有解決問題。
最後沒有辦法了,只得重裝操作系統。可是每次重裝後又出現倒計時,請問《電腦報》的安全專家,是什麼原因造成15分鐘倒計時關機的?為什麼重裝系統後又很快出現了?
安全專家:從讀者來信中我們知道,他碰到了15分鐘倒計時關機的情況,這是因為操作系統受到了“五月莉娜”計算機病毒的侵害。“五月莉娜”病毒因為很多人對它都不甚了解,網上也只有很少的介紹,所以用戶很難找到它的清除方法,更不用說有什麼專殺工具可以使用。
一旦中了“五月莉娜”病毒,系統目錄中的一些重要文件就會被替換,比如任務管理器、注冊表管理器、系統配置程序,以及命令提示符等等。其實該病毒還是屬於現在非常流行的閃存盤病毒這一個大類,通過閃存、移動硬盤等移動設備來進行傳播。
不過本報第31期講的閃存盤病毒通用解決方案在這裡就不完全有用了,因為該病毒除了可以利用移動設備進行傳播外,還可以利用網頁木馬等其他方式來進行傳播。再加上其他磁盤目錄裡面“五月莉娜”殘留的病毒存在,因此用戶很容易在重新安裝系統後再次被感染。
另外,“五月莉娜”病毒和其他的閃存盤病毒還有所差別的是,該病毒並不會在右鍵菜單多出一個“Auto”命令,因此也很難讓用戶發現隱藏在該目錄下的病毒文件。TW.WINGwIT.cOm正是這樣的原因造成了上面那位讀者多次重裝系統,才勉強將病毒從系統成功清除。
“五月莉娜”完全清除方案
方法一:菜鳥清除法
首先重新安裝系統,完成後不要立即打開任何磁盤。點擊開始菜單中的“運行”命令輸入“CMD”,然後在彈出的命令提示符窗口中執行“attrib autorun.inf -s -h -r”,這樣做是為了去除該文件的隱藏等屬性內容。
最後再在窗口中執行“del autorun.inf”和“del limit.exe”就可以了(圖1)。需要特別注意的是,對所有的磁盤分區都要這樣操作,要不然病毒又會自動感染其他的磁盤分區。
方法二:老鳥操作法
首先重新啟動系統(該方法不用重裝系統),並按F8進入安全模式。接著利用《冰刃》等安全工具刪除所有磁盤分區下的autorun.inf和Limit.exe等病毒文件,刪除c:\windows下的regedit.exe文件夾和圖標為批處理的一個可執行文件MSCONFIG.EXE(圖2)。
刪除c:\windows\system32下的cmd.exe文件夾、command.exe文件夾、taskmgr.exe文件夾,刪除c:\windows\system32\dllcache下生成的cmd.com、cmd.exe、regedit.com、regedit.exe、command.com、command.exe等文件夾,這種對系統重要文件進行替換正是很多系統工具無法使用的原因。
再打開注冊表編輯器,先在啟動項中刪除空白的項目MSCONFIG.EXE,接著在注冊表中分別搜索msconfig、Limit等關鍵字,然後將查找到的所有可疑的注冊表項目和它對應鍵值統統刪除。
然後從其他干淨的操作系統中復制regedit.exe、taskmgr.exe、msconfig.exe、cmd.exe等文件到系統中,再利用Copy命令復制到以前的位置,例如copy c:\cmd.exe c:\winedows\system32。
最後重新正常啟動後發現系統已經恢復正常,有時系統會跳出Windows修復程序,將系統安裝盤插入到光驅後即可自動修復。
編輯觀點:安裝閃存病毒防御軟件
由於“五月莉娜”病毒清理起來還是比較棘手的,所以這裡用戶可以根據自己的實際情況來選擇一種清除方法。如果你對系統操作不熟,就通過第一種方法來解決;如果你對系統操作很熟練,第二種方法應該更適合你。
此外,還需要為操作系統安裝MS06014和MS07017兩個漏洞補丁。建議安裝閃存病毒防御安全工具。例如《Autorun病毒防御者》(下載地址:http://www.cpcw.com/bzsoft/),具體工具選擇可以參考《電腦報》第32期《4款閃存殺毒軟件綜合能力測試》。
From:http://tw.wingwit.com/Article/Network/201309/413.html