进程路径:D:硬盘终结者svchost.bmp.pif
注册表路径:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced
注册表名称:Hidden
触发规则:所有程序规则->系统设置
>HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced
2008-04-2420:57:34删除注册表操作:允许
进程路径:D:硬盘终结者svchost.bmp.pif
注册表路径:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHidden
注册表名称:SHOWALL
触发规则:所有程序规则->系统设置
>HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHidden
2008-04-2420:58:09安装服务或者驱动操作:允许
进程路径:D:硬盘终结者svchost.bmp.pif
文件路径:C:windowssystem32wins.com
触发规则:所有程序规则->*
2008-04-2420:58:46修改文件操作:允许
进程路径:D:硬盘终结者svchost.bmp.pif
文件路径:D:AutoRun.inf
触发规则:所有程序规则->系统文件->?:autorun.inf
2008-04-2420:59:26运行应用程序操作:允许
进程路径:D:硬盘终结者svchost.bmp.pif
文件路径:C:WINDOWSsystem32logoff.exe
触发规则:所有程序规则->*
2008-04-2421:00:55关闭/重启系统操作:允许
进程路径:C:WINDOWSsystem32logoff.exe
触发规则:所有程序规则->*
为了让这个病毒运行完整,达到它理想中的破坏目的,我一律允许,包括重启。
重启后就是杀毒和清理、修复依据恢复数据的过程了,重启后红伞打开(因为不把红伞的监控关掉,这个病毒是运行不了的!)马上报毒,开杀!(为了省事就没有手动删除,用红伞全盘扫描,杀掉所有病毒),杀完病毒还得修复病毒对系统的破坏,首先去别的系统里复制一个taskmgr.exe到系统盘的windowssystem32文件夹里,然后用SREngPS.exe修复文件关联后,这个文件关联是把txt指向C:DocumentsandSettingsAllUsersApplicationDataMicrosoftwin1ogon.exe,也就是当你打开txt文件就会激活病毒!再删除这项(见下图)
导入“显示隐藏文件.reg(在2楼),因为我用wsyscheck修复显示隐藏文件后,隐藏的文件是显示了,但是文件夹选项里却缺了,显示所有文件和文件夹的这个选项(见下图)
在1里面没有了“显示所有文件和文件夹的这个选项
2这个是我从来都不选的,它给我选上了^_^
删除注册表项
HKEY_LOCAL_MACHINESOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN右侧的SVCHOST.EXE键值
删除注册表项
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpolicies下的所有子建,然后导入“恢复运行注销项.reg(在3楼)到这里就所有的都修复完毕!重启!(如果在开始菜单还是不能重启的话,就用任务管理器重启,重启后就正常了)还有一点就是如果你的杀软不能完全的杀掉所有生成的病毒,就按照路径手动删除也可以!
重启后就是恢复被病毒删除的文件了,我是用“易我数据恢复向导V2.1.0恢复的(整整浪费了我一个多小时)但是一定要谨记,不能把恢复的文件恢复到正在恢复文件的盘里,而且也不能把文件恢复到别的需要恢复文件的盘里,(也就是你需要恢复文件的盘里一定不要再往里写入文件,否则会破坏你要恢复的文件,以至于恢复了文件也不可用了!!一定切记!!)
标签: 病毒
