由於熊貓燒香病毒源代碼的洩露,該病毒的變種仍然橫行於世。玉兔病毒就是變種之一。它能夠破壞系統的安全模式,讓用戶無法進入安全模式查毒。面對這種情況,我們又該怎麼辦呢?
安全診所來了一位求診者小王,他的電腦已經中了病毒,請求電腦安全醫生診治。醫生發現小王電腦中可執行程序的圖標都變成了玉兔的圖標(圖1),雙擊盤符都無法進入磁盤,很多程序都無法正常運行。小王重新安裝系統後,馬上又被同樣的病毒感染而系統崩潰。安全醫生憑著對病毒敏銳的直覺,斷定小王的電腦感染了最近非常活躍的玉兔病毒。
玉兔病毒檔案
玉兔病毒會破壞安全模式,使用戶無法進入該模式殺毒。玉兔病毒在每個盤符生成病毒文件和Autorun.inf文件後,只要雙擊盤符就可以感染。玉兔病毒會結束安全軟件及其他一些常用的安全輔助工具運行。玉兔病毒還修改注冊表導致用戶無法正常查看隱藏的系統文件,從而達到不被查殺的目的。
巧避鋒芒清除病毒
首先,要清除盤符裡的病毒文件和Autorun.inf文件,以防止病毒繼續擴散。因為病毒的原因,我們不能夠正常進入注冊表和使用冰刃檢查系統。但是我們可以使用超級巡警綠色版本,因為病毒並不能關閉超級巡警。
進入“進程管理”選項,很快發現bryato.exe、severe.exe、loveRabbit.exe等3個可疑的病毒進程。tw.wiNgwit.CoM其中bryato.exe是盜取QQ密碼的木馬,而另外兩個是玉兔病毒的進程。這三個進程都插入了bryato.dll運行。
由於病毒進程具有關閉後馬上重啟動的特點,首先選中三個進程,然後右鍵單擊三個進程選擇“禁止進程創建”命令,接著右鍵單擊三個進程選擇“強制卸載標記模塊”命令(圖2),這樣便暫時終止了這幾個進程。
進入“啟動管理→注冊表”選項,很快發現了bryato.exe和severe.exe的非法啟動項目(圖3)。右鍵單擊這兩個啟動項目,選擇“刪除啟動項”命令予以清除。
揪出系統深處的病毒
此時,病毒還潛伏在系統深處,還需要我們進一步清理。進入“進程管理”,仔細分析一些系統進程,根據文件創建和其他信息馬上發現了Winlogon.exe系統進程被插入了msexch400.dll這個病毒文件,記下文件位置,接著選中該文件後右鍵單擊選擇“強制卸載標記模塊”命令(圖4)終止病毒進程。
在conime.exe進程發現被插入了bryato.dll,選中該文件後右鍵單擊選擇“強制卸載標記模塊”命令終止病毒進程。接著重新啟動計算機,刪除記下的病毒文件。
再次重新啟動計算機,此時已經可以進入注冊表編輯器,進入HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL子項,發現右側的ChekedValue鍵值為1,當然無法顯示隱藏的病毒文件了,修改為0。
之後便可以顯示隱藏的病毒文件了,最後刪除導致無法雙擊打開盤符的Autorun.inf文件以及相關的OSO.exe即可。
From:http://tw.wingwit.com/Article/Network/201309/447.html