|
|
|
病理分析
TXP1atform.exe病毒會(huì)在c:windowssystem32drivers下建立TXP1atform.exe,在所有的根目錄下建立.exe和autorun.inf,在系統(tǒng)分區(qū)外的所有文件夾中建立desktop_1.ini(乃至desktop_2、_3),感染擴(kuò)展名為exe、htm的文件,修改、刪除、增加了幾百處注冊(cè)表鍵值,也可能在c:documents and settings下的一些文件夾中建立不少文件
解決辦法及步驟
單純的重裝系統(tǒng),雖然系統(tǒng)盤得到了凈化,而其它驅(qū)動(dòng)器中仍然留有余孽,一旦雙擊系統(tǒng)盤外的驅(qū)動(dòng)器或文件夾或某個(gè)可執(zhí)行程序,病毒還會(huì)死灰復(fù)燃,再次感染系統(tǒng),前面的努力全都白費(fèi)了。因此在重裝前,首先要作一些清理:
(注意:清理過程中,不要雙擊打開驅(qū)動(dòng)器或文件夾或exe、htm文件,否則清理工作有可能白費(fèi))
(一)、打開任務(wù)管理器,結(jié)束TXP1atform.exe進(jìn)程(必須先做這一步,否則下面刪除分區(qū)根目錄下的.exe和autorun.inf后,兩個(gè)文件又在幾秒鐘內(nèi)自動(dòng)生成)
(二)、用winRAR查看每個(gè)分區(qū)(這里雙擊是安全的),它會(huì)顯示出所有的隱藏文件。(復(fù)制.exe的文件名,在某處建立一個(gè)文件夾,把復(fù)制的.exe的文件名粘貼到這個(gè)新建的文件夾的名字處,待會(huì)兒有用)。刪除所有分區(qū)中隱藏的.exe和autorun.inf。如果有移動(dòng)存儲(chǔ)設(shè)備,也要?jiǎng)h除隱藏其中的這兩個(gè)文件
(三)、隱藏于系統(tǒng)盤外的desktop_1.ini(乃至desktop_2、_3)數(shù)量龐大,手動(dòng)刪除極為麻煩,用搜索程序也不見它們的蹤影,因此要用批處理。方法是新建一個(gè)文本文件,復(fù)制以下內(nèi)容并保存,任意命名,擴(kuò)展名要改為bat:
@echo off
echo 正在清除,請(qǐng)稍候......
del c:Desktop_1.ini /f /s /q /a
del D:Desktop_1.ini /f /s /q /a
del e:Desktop_1.ini /f /s /q /a
del f:Desktop_1.ini /f /s /q /a
del g:Desktop_1.ini /f /s /q /a
del h:Desktop_1.ini /f /s /q /a
del i:Desktop_1.ini /f /s /q /a
del c:Desktop_2.ini /f /s /q /a
del D:Desktop_2.ini /f /s /q /a
del e:Desktop_2.ini /f /s /q /a
del f:Desktop_2.ini /f /s /q /a
del g:Desktop_2.ini /f /s /q /a
del h:Desktop_2.ini /f /s /q /a
del i:Desktop_2.ini /f /s /q /a
del c:Desktop_3.ini /f /s /q /a
del D:Desktop_3.ini /f /s /q /a
del e:Desktop_3.ini /f /s /q /a
del f:Desktop_3.ini /f /s /q /a
del g:Desktop_3.ini /f /s /q /a
del h:Desktop_3.ini /f /s /q /a
del i:Desktop_3.ini /f /s /q /a
echo 清除完畢
exit
用下面這一個(gè)可以免疫一下!
@echo off
echo 正在終止病毒進(jìn)程并免免疫,請(qǐng)稍等……
taskkill /f /im TXP1atfOrm.exe
del c:windowssystem32Driverstxp*.exe /f /s /q /a
md c:windowssystem32Driverswww
ren c:windowssystem32Driverswww TXP1atfOrm.exe
attrib c:windowssystem32Driverswww TXP1atfOrm.exe +R +S +H
echo 正在清除病毒生成的垃圾文件,請(qǐng)稍等……
del C:WINDOWSTasks*.job /f /s /q /a
del c:Desktop_1.ini /f /s /q /a
del D:Desktop_1.ini /f /s /q /a
del e:Desktop_1.ini /f /s /q /a
del f:Desktop_1.ini /f /s /q /a
del g:Desktop_1.ini /f /s /q /a
del h:Desktop_1.ini /f /s /q /a
del i:Desktop_1.ini /f /s /q /a
del c:Desktop_2.ini /f /s /q /a
del D:Desktop_2.ini /f /s /q /a
del e:Desktop_2.ini /f /s /q /a
del f:Desktop_2.ini /f /s /q /a
del g:Desktop_2.ini /f /s /q /a
del h:Desktop_2.ini /f /s /q /a
del i:Desktop_2.ini /f /s /q /a
echo 清除完畢!
(四)、刪除那些被感染的exe和htm文件。可以下載360殺毒軟件,安裝后掃描硬盤、移動(dòng)設(shè)備,很可能會(huì)發(fā)現(xiàn)幾乎所有的exe和htm文件都被感染了,只能刪除
然后重裝系統(tǒng),就OK了
為了防止再次感染,需要:
把剛才新建的文件夾復(fù)制到各分區(qū)的根目錄下(這個(gè)同名的文件夾是無法被病毒替換的,但如果換成同名的文件,就會(huì)被病毒替換掉,所以一定要用文件夾)。之后再于每個(gè)根目錄下建個(gè)名為autorun.inf的文件夾。保險(xiǎn)起見,還可在c:windowssystem32drivers目錄下建立一個(gè)名為TXP1atform.exe的文件夾
簡(jiǎn)單的清理方法
用冰刃或360將c:windowssystem32driversTXP1atform.exe強(qiáng)制刪除或者粉碎,然后用清理助手掃描清理,OK
|
|
發(fā)表留言請(qǐng)先登錄!
|