此程序对系统有破坏性质,症状如下:
1、双击分区盘符后弹出打开方式(此时已自动激活橙色八月类似文件(autorun.inf);
2、无法打开任务管理器、注册表、命令提示框、msconfig;
3、每个分区下自动创建具有只读、隐藏、存档属性的autorun.inf、Limit.exe,如图所示:
4、c:\windows下regedit.exe改写为具有隐藏、只读、存档属性的同名文件夹,c:\windows下msconfig.exe改写为 大写同名可执行程序,图标变为批处理图标
5、c:\windows\system32下cmd.exe、command.exe、taskmgr.exe分别改写为cmd.exe、cmd.com文件夹,command.exe文件夹,taskmgr.exe文件夹
6、c:\windows\system32\dllcache下新建具有隐藏、存档、只读属性的cmd.exe、cmd.com、comman.exe、ta skmgr.exe、regedit.exe文件夹
7、启动项新增空白项,键值为c:\windows\MSCONFIG.EXE
8、凌晨1点-7点十五分钟自动倒记时关机,如图所示:
解决方法:
1、重新启动电脑,进入安全模式.
2、进入文件夹选项,打开隐藏受保护的操作系统文件(推荐),打开显示所有文件和文件夹,显示扩展名,
3、删除每个盘符下的autorun.inf和Limit.exe文件
4、删除c:\windows下的regedit.exe文件夹和MSCONFIG.EXE文件,删除c:\windows\system32下的cmd.exe、cmd.com文件夹,command.exe文件夹,taskmgr.exe文件夹,删除c:\windows\system32\dllcache下的cmd.exe、cmd.com、comman.exe、taskmgr.exe、regedit.exe文件夹
5、从好的系统中拷贝注册表文件regedit.exe、系统配置实用程序msconfig.exe、命令提示符cmd.exe、任务管理器taskmgr.exe文件到中毒机器的相应位置
6、使用msconfig.exe删除启动项中的空白项MSCONFIG.EXE
7、使用regedit.exe查找MSCONG.EXE,删除HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache项下的c:\windows\msconfig.exe、c:\windows\system32\msconfig.exe键值
8、查找Limit.exe,删除相应的键值和项
9、查找值1:00-7:00,删除相应键值
10、重新启动电脑正常进入windows后恢复正常
No comments:
Post a Comment