|
临近期末,同学们经常用U盘在文印部打印一些资料,难免会会造成U盘病毒的大量传播。其中较为明显的症状就是开始菜单有时会乱跑和任务管理器被禁用。 可能的中毒原因:
使用U盘在别处拷贝东西。 解决方案:
(1)解决注册表编辑器和任务管理器禁用问题 开始/运行 输入 gpedit.msc 回车, 就打开了“组策略”(如无法打开运行菜单,可以重启机器或是开机进入安全模式)
然后点开 “本地计算机策略”/用户配置/管理模板/系统
在右面的列表中找到“阻止访问注册表编辑工具”,点右键设置属性为“已禁用”,
这样就可以在 开始/运行 里运行 regedit 了 点击 用户配置/管理模板/系统/ctrl+alt+del 选项,设置 “删除任务管理器”的属性为
“已启用”,就可以打开 任务管理器 了。 (2)找到病毒源 网上说该病毒为U盘或MP3感染,在system32文件夹下,会随机生成6字节文件,并修改了
注册表的 run 和 load 来自动加载。 使用任务管理器来查看可疑的进程,再去一台没中病毒的机器上看一下该进程是否是系
统的东西,若不是,则用 regedit 看
HKCM/Software/Microsoft/windows/currentver/run 里是否有可以进程的注册,如果刚
好有任务管理器查看出可疑的进程,而且相应的文件在系统的system32文件夹里的话,
那么就很可能是了。 还有,该病毒还在system文件夹下有一个可执行文件,是隐藏的,我的机器里的那个文件的
图标是个文件夹图标,点击该文件的属性,查看文件版本信息,相应的产品名称为
“virus”,这个就是那个病毒源了。
在注册表里查看HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Command Processor 里的
Autorun 键值,看相应的值是否是该文件的名字,如果是那就是病毒的注册证明了。 (3)杀毒 这步比较简单。 首先在 任务管理器 中禁用相应的进程;然后删除system32文件夹里相
应的文件;最后运行 regedit 在注册表里查找 该病毒的名字,删除相应的键值就行
了。主要是HKCM 分支下的run和HKUSER下的Load里面的相应的键值。 接着删除system文件夹下查出的那个病毒文件,再在注册表里查找相应病毒文件的名字,删
除相应的键值就行了。
主要是删除hk_cur_user/software/microsoft/windows/currenversion/ 里的相应键值(我
的有个 bd 子目录,病毒就在里面有注册)和HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/
Command Processor 的Autorun 键值. 到这里就搞定了。现在可以再把“组策略”里的改动的那两个设置恢复成原始值了。 (4)一点建议 不过大家用U盘还是要小心一点。
不要随便使其自动运行,可以点右键,选择打开,虽然麻烦一点,还是比较保险的。
另外经常显示所有文件包括系统文件,查看U盘里的可疑隐藏文件也是个办法。本校的U盘病毒文件经常为sky.exe文件,大家要留意。
还要保持杀毒软件的更新。
另外,virus版上提供的在 U盘里建个 autorun.inf的文件夹,设为只读和隐藏属性,也
应该很有效果。
也可以禁用系统自动运行的功能,
通过修改注册表 hkca/software/micorsoft/windows/curver/polices/explorer/
NoDriveTypeAutoRun 设置值为 0xFF |
