“眨眼睛”病毒解决办法(zz)

By Jiang | 12月 29, 2006

近日朋友中了一种新的病毒,症状是屏幕每隔一段时间黑屏闪烁一次,各磁盘根目录下产生“llm.exe”和“Autorun.inf”两个文件,双击无法打开硬盘,删除后立刻重新产生,并且屏蔽了隐藏文件察看功能。目前大多数杀毒软件还不能识别该病毒。

此病毒可由U盘传播,中毒症状类似之前的“Autorun”病毒,双击感染。但是瑞星监控可以发现该病毒对注册表的修改,只要选择“拒绝修改”即可,但依旧会产生以上病毒文件,注册表有关隐藏文件的键值还是会被修改。只是屏幕闪烁等问题并未产生。

解决办法:

保持瑞星监控开启状态。

首先修改注册表:

“开始”->“运行”->“regedit”打开注册表编辑器。

  1. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

将其中的“CheckedValue”键删除,因为病毒已将其类型改为“SZ”,及时将值改为“1”也无法察看。删除后新建类型为“DWORD”的键,名称改为“CheckedValue”,键值为“1”。

  1. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]

将其中的“Userinit”键内容改为“userinit.exe,”(含逗号),这时我们可以发现修改之前该键的内容中有一个“microsoft\*(乱码).exe”,这个文件其实就是病毒文件之一。

将其中的“Shell”键内容改为“EXPLORER.EXE”,这时我们可以发现修改之前该键的内容中有一个“C:\WINDOWS\system32\dllcache\dcache.exe”,没错,这个文件就是病毒文件之二。

  1. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

将其中的“System”键删除。该键的内容为“C:\WINDOWS\system32\advanced.exe”,这是第三个病毒文件。

注册表修改完毕后进入C盘Windows文件夹System32文件夹,显示隐藏文件和系统文件以及扩展名,找到隐藏的“advanced.exe”文件(44.2kb,没有图标),该文件此时无法删除,但可以将其文件名修改,改成什么都可以,只要下次你能找到并且文件名不是原来的那个就可以。然后新建一个文本文档(其实新建什么都行),将其名称改为“advanced.exe”(一定要显示扩展名,不然就变成“advanced.exe.txt”了),属性改为“只读”(0kb,程序图标)。

然后找到“dllcache”文件夹,删除隐藏的“dcache.exe”文件(44.2kb,没有图标);回到上级目录,找到“microsoft”文件夹,删除隐藏的“*(乱码).exe”文件(44.2kb,没有图标)。

这时再回到各根目录下将隐藏的“llm.exe”(44.2kb,没有图标)和“autorun.inf”文件都删掉。这时,即使再次产生,生成的“llm.exe”文件也是与我们之前建立的“advanced.exe”(0kb,程序图标)相同,即没有任何危害性了。

不放心的话可以再按以上顺序检查一遍,重启电脑再检查一下,如果注册表和Windows文件夹中都没有什么变化就可以将我们自己建立的那个假的“advanced.exe”删除了。

由于我自己的电脑在瑞星监控的保护下没有正式感染病毒,所以将这几个文件删除之后就没有问题了,但是朋友的电脑屏幕闪烁不再出现,无法打开根目录问题还是没有解决,双击后出现“C:\不是标准的Win32命令”提示窗口,用任务管理器等可以正常使用,希望各位高手予以提点。

病毒文件:

  1. C:\WINDOWS\system32\advanced.exe
  2. C:\WINDOWS\system32\dllcache\dcache.exe
  3. C:\WINDOWS\system32\microsoft\*(乱码).exe

各根目录下产生“llm.exe”和“autorun.inf”。
其中所有的“.exe”文件均没有图标,大小为44.2kb。

作者: 好奇宝宝ILIA
链接: http://hi.baidu.com/ilia/blog/item/22af9825d5c2246035a80f21.html

Topics: 软件使用 | 8,249 views | 4 Comments »


4 comments | Add One

  1. 金山毒霸2008下载 - 11/1/2007 at 9:01 下午 #

    用金山公司最新推出的金山毒霸2008 维护电脑安全

  2. Jiang - 11/1/2007 at 10:32 下午 #

    咣当,这推广得真比较用心!

  3. SEO - 03/2/2010 at 4:14 下午 #
  4. 腳跟痛 - 07/8/2010 at 11:15 上午 #

    恩,是不錯!

LinkWorth
Hostgator

酷站链接 (Featured Links)

最新评论 (Recent Comments)

  • air jordan shoe: 不错,挺厉害的~~
  • Hairstyles: 原来链接这么重要!
  • Haircuts: 有空试一下看看
  • CHI Flat Iron: 哇,这么多插件啊,慢慢看!
  • 诗酒如画: 1)备份你的WordPress数据库 推荐用WordPress Database Backup在后台操作.下载备份的压缩包或者是传到自己邮箱里都可以. 如果直接在数据库中备份的话,记得选择UTF8编码,切记. 2)备份你的程序...
  • north face wholesale: en ,我会试一试的。

搜索 (Search)

合作伙伴

推荐站点 (Recommendations)

Partner links

WordPressChina
  • 原创博客联盟