|
病毒运行后将自身复制到Windows系统目录下,文件名为“svohost.exe”
病毒一旦运行,释放自己的副本到 %windir% 目录,文件名为"svohost.exe"
病毒一旦运行,和IE挂钩,运行IE同时即运行病毒,感染文件为winsock.dll或winscok.dll,并且为隐藏、系统文件,无法删除。卡巴斯基、mcafee等杀毒软件的后台服务重启时被“禁止”,更不要说杀毒了……
病毒的删除方法:
1.开始菜单-运行-输入CMD命令打开CMD窗口;输入命令tasklist回车查看一下..果然发现了这个进程:svohost.exe(虽然他禁用了任务管理器,但在CMD下用tasklist命令还是可以查看到进程信息的)
2.关了他.输入命令taskkill /f /im svohost.exe (请严格按照此格式输入命令包括空格,否则提示命令参数错误) 回车 提示svohost.exe结束成功.
3.搜索svohost.exe这个文件(把搜索高级选项里的"搜索隐藏的文件和文件夹"勾上,不选择此项是搜索不到的)搜索到后删除!操作到这里大家可以打开注册表任务管理器了.(请马上去这个地址下载这2个工具http://free.ys168.com/?caiqcjd(txt.reg3.9KB恢复TXT文件关联;exefiles.rar 1.4KB 恢复EXE文件关联)
4.他还修改了注册表的一处,使文件夹选项中对隐藏文件的设置始终为"不显示隐藏文件",这么做的主要目的在于让你在WINDOWS环境下找不到被设定隐藏属性的病毒源文件.但这里还有几种手段可以找到他.1.用WINDOWS的搜索.只要在高级选项里把"搜索隐藏的文件和文件夹"勾上就可以找到了.2.在命令提示符里用dir /a命令也可以查看到.麻烦一点罢了.由于WINDOWS和SYSTEM32目录下文件太多.用dir命令的时候.最好再加一个参数.dir /a /p这样会更好.
我们到注册表里去把他改回正常状态.
打开注册表.找到HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/HiddenSHOWALL这个键.看右边.找到一个CheckedValue的值.我注意到这个该死的病毒居然把他改成了字符串值.如果你不小心的话.也许会认为改了也没用.把这个值删除.重建一个DWORD的值为CheckedValue.把他的值设为1.
完成清毒!此时杀毒软件等能够正常开启,进行全面的扫描杀毒,OK!
再提供大家一个修复winsock.dll的工具:winsockfix.rar,因为很可能病毒感染winsock.dll后造成不能上网。有条件的朋友,最好在重启后按F8,进入安全模式,拷贝一个干净的winsock.dll覆盖被感染过的文件,再运行这个修复工具,这样比较安全
修复工具: 点击下载此文件
| 
沪公网安备 31011702000001号 沪ICP备11019229号-2
发表于 2006-9-21 19:05
楼主
发表于 2006-9-26 11:28