防範措施
對於這個病毒要提高警惕,做好防禦工作,除了為一個完全乾淨無毒系統做個備份,還需要做到以下幾點:1.關閉所有默認共享(net share admin$ /del)不要使用任何共享。
2.很多病毒都是利用漏洞傳播,所以要及時更新最新補丁,並將補丁備份在移動硬碟中,以防系統中毒後無法上網升級。
3.不接受任何陌生人的郵件、網址、視頻等網路檔案或信息,如遇好友網路上傳送檔案,最好使用防毒軟體查殺再打開,以免由於對方電腦已經中毒而感染。
4.使用快閃記憶體、移動硬碟、存儲卡、MP3等移動存儲設備時,要開啟防毒軟體實時監控功能。
6.利用專業的防毒軟體和防火牆的功能提高系統安全,及時升級防毒軟體病毒庫,有條件的情況下將升級包備份到移動硬碟中。
7.平時不但要將一些常用系統檢測修復工具以及木馬查殺工具保存在移動硬碟中,還要經常對電腦進行定期檢測和修復防毒。
8.為本機管理員帳號設定較為複雜的密碼,預防一些變種病毒通過密碼猜測進行傳播。
掐斷病毒傳播途徑
在這個病毒的傳播途徑中,快閃記憶體、移動硬碟、存儲卡、MP3等移動存儲設備是重要傳播媒介,如果快閃記憶體中感染了此病毒,會在快閃記憶體的驅動器里建立多個隱藏的檔案,其中會有一個名為autorun.inf的檔案,這個檔案會為快閃記憶體添加一個自動運行的選單,如果把默認“打開”操作改成關聯病毒程式,那么在你雙擊快閃記憶體的時候,就會感染快閃記憶體所帶的病毒,通常情況下無法看到這些檔案就沒辦法刪除,我們可以利用CMD命令來解決這一問題(這種防毒方法也適用於硬碟驅動器):1.在用防毒軟體全面查殺過後,大部分移動存儲設備中的病毒都可以被殺掉,接下來在計算機中右擊移動存儲裝備,看快捷選單中的顯示,如果有“auto”,則表示移動存儲設備還是處於中毒狀態。
2.單擊“開始→運行”命令,在命令行中輸入CMD並“確定”,打開CMD視窗。
3.在命令行模式下,輸入移動存儲裝備盤符名稱,比如移動硬碟是K,那就輸入K:按回車進入K盤根目錄。
4.在命令行下輸入attrib按回車,這時在下方列出來檔案中看到有一個名為SH autorun.inf的檔案(圖1)。(attrib指令:用於修改檔案的屬性。檔案的常見屬性有隻讀、存檔、隱藏和系統)
圖 1
提示:也可以使用dir/a 這個命令來查看當前目錄全部的檔案,包括有隱藏屬性的,可以用來查看是否有autorun.inf等檔案。
5.在命令行中輸入“attrib空格-s空格-h空格autorun.inf”,更改autorun.inf檔案的隱藏屬性,這樣利用右鍵打開移動存儲設備,看到在根目錄下有一個autorun.inf檔案顯示出來,將它刪除。
最後拔掉硬碟存儲設備,當再一次連線的時候自動運行選單就沒有了,同理,其他的病毒程式也可以如此操作。
注意:
各種工具的使用、手工查殺與防毒軟體相互配合可以達到最好的效果。系統中毒後 儘快清除
如果你不幸中了“鹵豬病毒”(Win32.Iuhzu.a)或是類似的變種病毒,可以利用下面的方法進行清除。
初級方法
適用人群:初學者,電腦中沒有重要資料操作難度:★
如果你電腦中沒有重要的資料,並且不會使用DOS命令,不會使用防毒軟體,不會手工查殺,那么就只好使用傻瓜級的“防毒”方法,把硬碟整個都格式化,重新分區(注意在安裝系統時一定要斷開網路連線)
。
這樣做的結果就是能完全保證硬碟上的病毒被清除乾淨,但是硬碟上所有的數據都不見了,對於我們這些使用電腦頻繁,硬碟中數據資料較多的人來說,這種方法會毀了辛辛苦苦保存了下來的資料或文檔。
進階方法
適用人群:電腦操作熟悉者,在C糟下沒有重要資料操作難度:★★★
1.在斷開網路的安裝環境下利用光碟引導將C糟格式化後重新安裝系統,安裝防毒軟體,然後升級補丁升級病毒庫,如果備份有一鍵Ghost或還原精靈之類的,你要做的就是將系統還原(或重裝作業系統)。推薦安裝系統後先用360安全衛士先打好系統補丁和做好清理流氓軟體的工作。
提示:裝完系統後,不要馬上打開其他盤符(切記),如果非要打開,就用WinRAR或資源管理器進行查看。
2.重啟後進入安全模式,利用防毒軟體再進行查殺,一些防毒軟體殺不掉就按照防毒軟體對應的路徑找到後手工刪除,手工刪除不掉,就先結束進程再刪。
高級方法
適用人群:電腦高手,系統中存有重要資料者操作難度:★★★★★
準備好需要的工具:SREng、Autoruns、修復安全模式.REG、恢復顯示隱藏檔案.REG
SREng:是一款系統診斷配置工具,主要用於發現、發掘潛在的計算機故障和大多數由於計算機病毒造成的破壞。
Autoruns:可查看、刪除註冊表及Win.ini檔案等處的自啟動項目。
1.如果安全模式不能進,那么可以利用SREng軟體進行修復,下載回來後,運行前先改名(必須改名,不然是無法運行的),打開界面後選擇“系統修復→高級修復→自動修復”,再點修復安全模式(圖2)。
圖 2
實際上,用此方法並不能完全修復所有不能進入安全模式的病毒劫持。所以還要利用SREng選擇啟動項目,刪除所有.EXE和.DLL以及相關的項目,之後在“服務”中Win32服務應用程式里,選擇隱藏微軟已認證的服務,之後刪除其他所以的不明服務。
2.運行修復安全模式.REG軟體,導入註冊表後重啟,不出意外的話,此時可以進入安全模式了。重起啟動後,進入安全模式,將Autoruns也改名(改名後可以防止因Autoruns被劫持而無法運行的情況),然後再運行,選擇映像劫持項目,刪除除Your Image File Name Here without a pathSymbolic Debugger for Windows 2000 之外的所有項目!病毒劫持了很多防毒軟體,手工一項一項的刪除可能比較辛苦,所以大家可以利用快捷鍵Ctrl+D和回車進行刪除。
3.將系統臨時目錄比如C:\Documents and Settings\Administrator\Local Settings\Temp下的各個項目都刪除。這時候就把病毒庫升級到最新,進行防毒,防毒軟體被其清除的就重裝吧。
4.由於病毒的原因,隱藏檔案沒辦法顯示,這裡我們單擊“開始→運行”,輸入regedit展開註冊表,將HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL右邊的CheckedValue鍵值設為1,也可以套用“隱藏資料夾的.reg”導入註冊表,這樣就可以顯示隱藏檔案了(圖3)。
圖 3
在此,我們建議大家先使用360安全衛士打上系統補丁和做好清理流氓軟體的工作,然後再用防毒軟體查殺。