求助!MP3里删不掉的病毒!
以前去外面打印店拷东西回来自己电脑上就发现病毒了,杀毒软件都显示病毒已杀除,并且在隔离区可以看到o(>_<)o可是以后拿到其他机子上又发现还在!把整个MP3格式化了过段时间又有 反反复复都有一年了- -|||
而且现在接上MP3电脑都没反应了 检测不到硬件~~不能用了***********
O:\RECYCLER\RECYCLER Worm.Delf.aj.47104
C:\C:\Documents and Settings\Administrator\Local Settings\Temp\is-UNB2P.tmp Win32.Troj.QQhelper.dl.49517
是什么病毒?
谁能教我怎样彻底清楚这个东西啊 ╮(=^ω^=)╭有奖哦
参考答案:你好,你这个病毒我也中过。以下提供几种有效的手动杀毒方法。但是,这个病毒传染速度很快,插过这个MP3的电脑也必须全杀毒。
一、手动删除硬盘上的病毒:
(以XP系统为例,其他系统略同,XP系统才有msconfig,2000没有!
方法(一):
1、打开任务管理器结束wincfgs进程。
2、控制面版-文件夹选项-设置显示系统文件及隐藏文件。(没有文件夹选项或者设置了但无法显示隐藏文件则是中了其他病毒,于该病毒无关,解决方法请看Virus病毒版的精华区的“〖注册表类〗”)。
3、搜索硬盘删除KB***********.exe(也许文件名不同,在XP系统中是和记事本一样的蓝色图标,位置是C:\WINDOWS\KB***********.exe),搜索硬盘删除wincfgs.exe(在XP系统中是黄色问号图标的隐藏系统文件,位置是C:\windows\system32\wincfgs.exe)。
XP系统的搜索方法:开始-搜索-文件或文件夹-所有文件和文件夹-要在“更多高级选项”选择“搜索系统文件夹、隐藏的文件和文件夹、子文件夹”-输入文件名,只搜索系统盘(C盘)。
4、开始-运行-regedit-进入注册表编辑器-编辑-查找-记得将“项、值、数据”这三个查找选项选上,搜索“KB***********.exe”,删除找到的项/值,按F3键查找下一个并删除项/值,直到搜索完毕。同理搜索删除“.\RECYCLER\RECYCLER\autorun.exe”和“wincfgs.exe”的相关项/值。(提示注册表被锁定,无法打开注册表编辑器,则是中了其他病毒,于该病毒无关,解决方法请看Virus病毒版的精华区的“〖注册表类〗”)
5、注册表-[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]清理与wincfgs相关的开机启动项。(因为第5步已经删除,如果没有看到wincfgs相关项则略过)
6、开始-运行-msconfig-点最后的“启动”-取消“wincfgs”-确定-重启-重启后问你是否每次开机都显示***,选择否。(没有看到wincfgs启动项则略过)
7、结束。
☆—————————————————————————————————————☆
比如XP系统的则删除注册表以下项/子项:没有的话当然不用删除了!!!
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
C:\windows\system32\wincfgs.exe
C:\WINDOWS\KB***********.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
load
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Load
☆—————————————————————————————————————☆
方法(二):
以下方法是用批处理删除文件、导入清理注册表:
1、删除文件:记事本写下以下内容,点“文件-另存为”,保存类型选择“所有文件”,文件名为1.bat,然后双击运行文件。
@echo off
tskill wincfgs
attrib -R -A -S -H C:\windows\system32\wincfgs.exe
attrib -R -A -S -H C:\WINDOWS\KB***********.exe
del C:\windows\system32\wincfgs.exe
del C:\WINDOWS\KB***********.exe
tskill conime
del %0
2、清理注册表:记事本写下以下内容,点“文件-另存为”,保存类型选择“所有文件”,文件名为1.reg,然后双击运行文件,运行后文件可以删除。(提示注册表被锁定,无法导入注册表,则是中了其他病毒,于该病毒无关,解决方法请看Virus病毒版的精华区的“〖注册表类〗”)。
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\windows\system32\wincfgs.exe"=-
"C:\WINDOWS\KB***********.exe"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Load]
3、开始-运行-msconfig-点最后的“启动”-取消“wincfgs”-确定-重启-重启后问你是否每次开机都显示***,选择否。(没有看到wincfgs启动项则略过)
4、结束。
二、删除U盘/MP3上的开机弹出空记事本病毒体:
1、设置一下能看到系统隐藏文件.
2、打开U盘/MP3时不要双击,右键选打开,不要选英文的OPEN.
3、打开U盘/MP3后看到RECYCLER文件夹.删除.
4、再删除autorun.inf就行了.
5、杀了后正常拔出U盘,再插上就可以了.否则双击打开U盘出现“拒绝访问”。
6、结束.
还有一种情况是打不开硬件,可以尝试以下办法:
情况:
无法双击打开盘符,一双击就提示WINDOWS无法找到reper.exe文件
可以用鼠标右键点打开的,就是双击不行
而且诺顿一直提示有一个后门病毒
处理:
安全模式下杀毒
另外,看看硬盘各分区的根目录下是否有autorun.inf,如果有,看里面指向那个程序,删之
病毒名称:Win32.Troj.Reper 影响系统:Win9x / WinNT 处理时间:
中文名称:瑞普 病毒类型:木马 威胁级别: ★★
病毒别名:Trojan.Reper[KV]
病毒行为
该病毒伪装成记事本文件,一旦并运行之后会将自己复制到系统的多个目录中。该病毒运用了多种常用的方法获得运行权。并在每个可写的逻辑磁盘的根目录生成autorun.inf文件,每次用户打开逻辑磁盘的时候病毒就悄悄地自动运行了。病毒每隔2秒左右就将自己加载到注册表的启动项,以使每次开机都运行病毒;病毒还修改文本文件的关联程序指向自身,这样用户每次打开文本文件的时候病毒又悄悄地运行起来。病毒会关闭Windows 任务管理器,注册表编辑器,进程查看器,命令行窗口程序,进程名字中包含字符"进程"、"任务"、"毒"、"木"、"杀"、"task"、"proc"、"wom"、
"prcview.exe"、"doctor"、"kill"、等等的进程,这将关闭众多的反病毒软件,大大降低了中毒机器的安全性能,给其他病毒大开方便之门。病毒还激活guest帐户,添加一个管理员帐户,并且删除默认的管理员帐户"Administrator",为黑客攻击打开后门。
1.病毒检查当前目录,如果是根目录,就创建Explorer进程,打开当前目录;如果不是根目录,就创建互斥体nothing,防止多个实例同时运行
2.将自身复制为以下文件(路径是硬编码的,如过不存在就释放不成功):
%SystemRoot%\svchost.exe
%System%\N0TEPAD.EXE
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\login.pif
C:\Documents and Settings\<当前用户名>\「开始」菜单\程序\启动\login.pif
修改文件C:\autoexec.bat内容。
并在每个可写的逻辑磁盘的根目录生成以下隐藏文件
reper.exe (该文件是病毒的副本)
autorun.inf
autorun.inf文件的内容为:
[autorun]
open=reper.exe
当用户打开磁盘的时候病毒就自动运行了。
3.修改注册表。
添加启动项:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"Services"="%SystemRoot%\svchost.exe"
修改文本文件关联程序为病毒文件:
HKCR\txtfile\shell\open\command\
"默认"="%System%\N0TEPAD.EXE %1"
4.创建两个线程,一个时钟。
1)一个线程用来关闭特定的进程:
regedit.exe
cmd.exe
ntvdm.exe
以及进程名中包含任意任意一下字符串的进程:
"task"
"proc"
"进程"
"prcview.exe"
"任务"
"毒"
"wom"
"木马"
"杀"
"doctor"
"kill"
2)另一个进程用来每2分钟运行一次C:\autoexec.bat。该文件被修改以后运行,将激活guest帐户,添加一个管理员帐户,并且删除默认的管理员帐户"Administrator"。
3)设置时钟每隔1200毫秒进行一次复制文件和注册表修改。
Reper&System-killer
手动杀Reper病毒:
用干净的光盘启动删除:
1、伪装的N0TEPAD.EXE--特征:大小为208kB(正常的为65kB)
2、C:\Documents and Settings\All Users\「开始」菜单\程序\启动\startup.pif--特征:大小为208kB
3、每个可读写的逻辑磁盘的根目录下的2个隐藏文件:
reper.exe (该文件是病毒的副本)--特征:大小为208kB
autorun.inf
4、C:\windows\viewer.exe--特征:大小为208kB
删除后,重新启动Winxp,发现一切正常。N0TEPAD.EXE能正常使用,注册表也能打开了。
可以显示所有文件后,右键分区盘符,选择"打开"进入分区根目录,删除pagefile.pif和autorun.inf文件.
然后在安全模式下查杀病毒
这些都是我自己收藏的杀毒方法,目前都很有效。这个病毒传染到电脑上以后,凡是插过的存储介质都会被感染,所以建议把所有插过的都按这种方法杀一遍。