手工清除severe.exe病毒 
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://xiaowang.blog.51cto.com/1083/68507 |
个人网站:www.itheroes.cn
转载请指明文章出自51CTO博客(blog.51cto.com) 我在做计算机维护时发现有几台计算机中了一种不知名的病毒,感染这种病毒的症状如下:
1、 计算机系统时间被修改为2004年;
2、 系统无法显示隐藏的文件和文件夹,在“文件夹选项”设置显示隐藏的文件和文件夹后,再次打开“文件夹选项”,会发现又恢复到以前的设置,即“不显示隐藏的文件和文件夹”;
3、 杀毒软件无法正常启动和运行,部分系统程序和安全工具无法运行,如:msconfig.exe、regedit.exe、冰刃(icesword)、360安全卫士等;
4、 系统进程中会有tfidma.exe、severe.exe两个进程,在系统安全模式和正常模式下都会随系统启动,且强制关闭后,这两个进程会马上启动;
5、 系统的hosts文件被修改,造成部分网站域名被劫持,当访问这些网站时,网站无法打开;
6、 在系统分区的根目录下有oso.exe和autorun.inf两个隐藏文件,当我们双击系统分区的盘符时,系统会执行autorun.inf文件中的命令,运行oso.exe文件。
一、清除病毒方法
尽管我们可以将msconfig.exe等程序改名或者将程序的扩展名修改成scr、com后运行,但系统进程中的病毒程序tfidam.exe和severe.exe还是会将我们运行msconfig.exe等程序所修改的系统设置恢复到以前的状态,难道就没有办法对付这种病毒了吗?答案当然是否定的,病毒的制造者疏忽了一点,那就是我们可以利用组策略使tfidam.exe和severe.exe在开机时无法运行,然后将其删除。单击“开始”—“运行”,在“运行”对话框“打开”栏中输入“gpedit.msc”后,单击“确定”按钮。在出现的组策略窗口中,依次展开“用户配置”、“管理模板”、“系统”,此时在右侧的窗口中可以看到一个“不要运行指定的Windows应用程序”选项,双击该项,打开相应的窗口,如图1所示。
 图1
依次选择“已启用”、“显示”、“添加”,分别将tfidam.exe和severe.exe加入其中。然后重新启动计算机,进入系统后,我们会发现进程中已经没有了tfidam.exe和severe.exe两个进程,并且msconfig等程序也可以运行了。这个方法对大部分木马病毒都很有效,大家以后如果遇到比较顽固的病毒时,可以试试这个方法。因为在正常情况下,通过系统的浏览文件功能无法查看到tfidam.exe和severe.exe,所以我们运行冰刃(icesword),使用它的文件浏览功能,将c:\windows\system32目录下的tfidam.exe和severe.exe删除掉。 二、恢复系统设置 1、 将系统时间修改为正常时间; 2、 打开注册表修改HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL下的checkedvalue值为1,系统恢复显示所有文件和文件夹功能; 3、 使用“AUTO病毒专杀”这款软件,将系统分区的根目录下的oso.exe和autorun.inf清除掉; 4、 使用360安全卫士自动修复被修改的hosts文件。 三、防范措施 为避免以后再次感染severe.exe或其他病毒,建议: 1、安装杀毒软件以及软件防火墙,经常升级杀毒软件,更新病毒代码库,定期对系统进行全面杀毒; 2、经常升级系统及应用软件补丁; 3、不要轻易打开来历不明的可疑的文件,不轻易打开邮箱中的附件,在打开前先使用杀毒软件扫描一下。不浏览不良网站,养成良好的上网习惯; 4、关闭不需要的系统服务; 5、关闭Guest帐号或者给其起一个足够复杂的密码,并为其他用户也起上复杂的密码; 6、禁止所有用户对c:\windows\system32下的cmd.exe,net.exe和net1.exe这三个文件访问,在我们需要访问这些文件的时候再加上访问用户。 个人网站:www.itheroes.cn 转载请指明文章出自51CTO博客(blog.51cto.com) 本文出自 “小王” 博客,请务必保留此出处http://xiaowang.blog.51cto.com/1083/68507 本文出自 51CTO.COM技术博客 |
小王
博客统计信息
热门文章
最新评论
友情链接