手工清除severe.exe病毒

我的网站：[url]www.itheroes.cn[/url]
转载请指明文章出自51CTO博客(blog.51cto.com)

 

我在作计算机维护时发现有几台计算机中了一种不知名的病毒，感染这种病毒的症状以下：

一、  计算机系统时间被修改成2004年；

二、  系统没法显示隐藏的文件和文件夹，在“文件夹选项”设置显示隐藏的文件和文件夹后，再次打开“文件夹选项”，会发现又恢复到之前的设置，即“不显示隐藏的文件和文件夹”；

三、  杀毒软件没法正常启动和运行，部分系统程序和安全工具没法运行，如：msconfig.exe、regedit.exe、冰刃（icesword）、360安全卫士等；

四、  系统进程中会有tfidma.exe、severe.exe两个进程，在系统安全模式和正常模式下都会随系统启动，且强制关闭后，这两个进程会立刻启动；

五、  系统的hosts文件被修改，形成部分网站域名被劫持，当访问这些网站时，网站没法打开；

六、  在系统分区的根目录下有oso.exe和autorun.inf两个隐藏文件，当咱们双击系统分区的盘符时，系统会执行autorun.inf文件中的命令，运行oso.exe文件。

1、清除病毒方法

尽管咱们能够将msconfig.exe等程序更名或者将程序的扩展名修改为scr、com后运行，但系统进程中的病毒程序tfidam.exe和severe.exe仍是会将咱们运行msconfig.exe等程序所修改的系统设置恢复到之前的状态，难道就没有办法对付这种病毒了吗？答案固然是否认的，病毒的制造者疏忽了一点，那就是咱们能够利用组策略使tfidam.exe和severe.exe在开机时没法运行，而后将其删除。单击“开始”—“运行”，在“运行”对话框“打开”栏中输入“gpedit.msc”后，单击“肯定”按钮。在出现的组策略窗口中，依次展开“用户配置”、“管理模板”、“系统”，此时在右侧的窗口中能够看到一个“不要运行指定的Windows应用程序”选项，双击该项，打开相应的窗口，如图1所示。

                                图1
依次选择“已启用”、“显示”、“添加”，分别将tfidam.exe和severe.exe加入其中。而后从新启动计算机，进入系统后，咱们会发现进程中已经没有了tfidam.exe和severe.exe两个进程，而且msconfig等程序也能够运行了。这个方法对大部分***病毒都颇有效，你们之后若是遇到比较顽固的病毒时，能够试试这个方法。由于在正常状况下，经过系统的浏览文件功能没法查看到tfidam.exe和severe.exe，因此咱们运行冰刃（icesword），使用它的文件浏览功能，将c:\windows\system32目录下的tfidam.exe和severe.exe删除掉。
2、恢复系统设置
一、  将系统时间修改成正常时间；
二、  打开注册表修改HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL下的checkedvalue值为1，系统恢复显示全部文件和文件夹功能；
三、  使用“AUTO病毒专杀”这款软件，将系统分区的根目录下的oso.exe和autorun.inf清除掉；
四、  使用360安全卫士自动修复被修改的hosts文件。
3、防范措施
为避免之后再次感染severe.exe或其余病毒，建议：
一、安装杀毒软件以及软件防火墙，常常升级杀毒软件，更新病毒代码库，按期对系统进行全面杀毒；
二、常常升级系统及应用软件补丁；
三、不要轻易打开来历不明的可疑的文件，不轻易打开邮箱中的附件，在打开前先使用杀毒软件扫描一下。不浏览不良网站，养成良好的上网习惯；
四、关闭不须要的系统服务；
五、关闭Guest账号或者给其起一个足够复杂的密码，并为其余用户也起上复杂的密码；
六、禁止全部用户对c:\windows\system32下的cmd.exe，net.exe和net1.exe这三个文件访问，在咱们须要访问这些文件的时候再加上访问用户。

 

我的网站：[url]www.itheroes.cn[/url]
转载请指明文章出自51CTO博客(blog.51cto.com)