一 中毒征兆:
1,无法打开注册表,无法导入注册表,打开组策略配置“阻止访问注册表编辑器”为“已禁用”仍然无法使用注册表。
2,瑞星计算机监控和杀毒主程序无法打开
3,木马杀客等主流的查杀病毒软件都无法打开
4,电脑无法显示隐藏文件
5,查看进程管理器发现有severe.exe和conime.exe,结束后立即重新启动,无法彻底结束
6,电脑的时间永远是2004年1月22日,修改后重启仍然是2004年1月22日。
7,电脑主人多次重装系统仍然无法解决。
……其它的症状暂时记不得了,不一一罗列了
二 杀毒步骤总结
1,进入带命令行的安全模式,一次执行以下步骤:
cd \WINDOWS\System32
del /a:h severe.exe
md severe.exe
cd \Drivers
del /a:h conime.exe
md conime.exe
2,退出带命令行的安全模式,进入正常模式或安全模式。
3,使用autoruns(网上很容易搜索到可下载的),执行如下步骤
(1)删除有关severe.exe和conime.exe的自启动项。
(2)打开“映象劫持”选项卡,删除除了ntsd.exe以外的的所有的启动项
此时注册表应该可以打开了。
4,使用winRar查看各个磁盘根目录下各文件,查找autorun.inf和OSO.exe文件,全部删除。如果有Setup.exe也一并删除。(能力所限,我不知道这个Setup.exe和OSO.exe是否有什么关系,或者是其它的病毒,如果有高手,望指教!)
5,使用USBCleaner进行病毒的查杀,并进行注册表修复。此步骤可以以如下方式替换:
(1)打开记事本,输入如下
Windows Registry Editor Version 5。00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
保存为.reg格式,导入。
(2)使用记事本,输入如下(
此可以和1中合并,这里只是本人杀毒过程的总结)
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]
"Text"="@shell32.dll,-30499"
"Type"="group"
"Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,\
48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,\
00
"HelpID"="shell.hlp#51131"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
同样保存为.reg形式,导入注册表。
此时可以查看隐藏文件了。
6,好象就这些了,记不太清了(因为后来接着杀另外一个毒了,有点混乱了),大概是可以打开杀毒软件和计算机监控,然后进行后续的病毒处理吧
三 鸣谢
感谢本杀毒过程中使用到的软件的编写者
另外,本次杀毒,借鉴了大量网友的宝贵经验,实在感激这些无私的高手!
四 声明
本文章只针对此次中毒的电脑的杀毒过程而总结,不同电脑上中毒的方式和症状以及病毒文件名可能不同,此文章仅供参考
五 体会
重装系统基本解决不了目前主流病毒问题,坚持就是胜利,有大量广大的网友无私的将自己中毒和杀毒的经验教训与大家分享,就没有解决不了的难题~