693
手工清除severe.exe病毒
最近,筆者在做計算機維護時發現有幾台計算機中了一種不知名的病毒,感染這種病毒的症狀如下:
1、 計算機係統時間被修改為2004年;
2、 係統無法顯示隱藏的文件和文件夾,在“文件夾選項”設置顯示隱藏的文件和文件夾後,再次打開“文件夾選項”,會發現又恢複到以前的設置,即“不顯示隱藏的文件和文件夾”;
3、 殺毒軟件無法正常啟動和運行,部分係統程序和安全工具無法運行,如:msconfig.exe、regedit.exe、冰刃(icesword)、360安全衛士等;
4、 係統進程中會有tfidma.exe、severe.exe兩個進程,在係統安全模式和正常模式下都會隨係統啟動,且強製關閉後,這兩個進程會馬上啟動;
5、 係統的hosts文件被修改,造成部分網站域名被劫持,當訪問這些網站時,網站無法打開;
6、 在係統分區的根目錄下有oso.exe和autorun.inf兩個隱藏文件,當我們雙擊係統分區的盤符時,係統會執行autorun.inf文件中的命令,運行oso.exe文件。
一、清除病毒方法
盡管我們可以將msconfig.exe等程序改名或者將程序的擴展名修改成scr、com後運行,但係統進程中的病毒程序tfidam.exe和severe.exe還是會將我們運行msconfig.exe等程序所修改的係統設置恢複到以前的狀態,難道就沒有辦法對付這種病毒了嗎?答案當然是否定的,病毒的製造者疏忽了一點,那就是我們可以利用組策略使tfidam.exe和severe.exe在開機時無法運行,然後將其刪除。單擊“開始”—“運行”,在“運行”對話框“打開”欄中輸入“gpedit.msc”後,單擊“確定”按鈕。在出現的組策略窗口中,依次展開“用戶配置”、“管理模板”、“係統”,此時在右側的窗口中可以看到一個“不要運行指定的Windows應用程序”選項,雙擊該項,打開相應的窗口,如圖1所示。
圖1
依次選擇“已啟用”、“顯示”、“添加”,分別將tfidam.exe和severe.exe加入其中。然後重新啟動計算機,進入係統後,我們會發現進程中已經沒有了tfidam.exe和severe.exe兩個進程,並且msconfig等程序也可以運行了。這個方法對大部分木馬病毒都很有效,大家以後如果遇到比較頑固的病毒時,可以試試這個方法。因為在正常情況下,通過係統的瀏覽文件功能無法查看到tfidam.exe和severe.exe,所以我們運行冰刃(icesword),使用它的文件瀏覽功能,將c:\windows\system32目錄下的tfidam.exe和severe.exe刪除掉。
二、 恢複係統設置
1、 將係統時間修改為正常時間;
2、 打開注冊表修改HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL下的checkedvalue值為1,係統恢複顯示所有文件和文件夾功能;
3、 使用“AUTO病毒專殺”這款軟件,將係統分區的根目錄下的oso.exe和autorun.inf清除掉;
4、 使用360安全衛士自動修複被修改的hosts文件。
三、 防範措施
為避免以後再次感染severe.exe或其他病毒,筆者建議:
1、安裝殺毒軟件以及軟件防火牆,經常升級殺毒軟件,更新病毒代碼庫,定期對係統進行全麵殺毒;
2、經常升級係統及應用軟件補丁;
3、不要輕易打開來曆不明的可疑的文件,不輕易打開郵箱中的附件,在打開前先使用殺毒軟件掃描一下。不瀏覽不良網站,養成良好的上網習慣;
4、關閉不需要的係統服務;
5、關閉Guest帳號或者給其起一個足夠複雜的密碼,並為其他用戶也起上複雜的密碼;
6、禁止所有用戶對c:\windows\system32下的cmd.exe,net.exe和net1.exe這三個文件訪問,在我們需要訪問這些文件的時候再加上訪問用戶。
最後更新:2017-04-02 15:14:59