發文作者:wekon | 九月 21, 2008

中毒 – SiZhu.exe

剛剛中了 SiZhu.exe 病毒
特徵是會將網頁首頁改掉,並且在每一個槽出現一個 SiZhu.exe 檔案
砍掉後會自己生出來

參考了以下方式:
http://bbs.kaspersky.com.cn/viewthread.php?tid=119808&extra=page%3D1%26amp%3Bfilter%3Dtype%26amp%3Btypeid%3D75

下面来说怎么手动杀sizhu.exe病毒
首先你要修复安全模式
下载一个 sreng 软件 如果你的电脑无法下载在别的电脑上下一个拷过来
修改文件名 比如修改为sreng111,因为这个软件也被SiZhu病毒禁止运行了
修改后,打开sreng
系统修复 高级修复 点击修复安全模式 在弹出的对话框中点击是
修复好后立刻重启按F8进安全模式

安全模式起来后切记不要进任何一个盘,否则病毒立刻发作
进安全模式后,点开始菜单->运行 输入cmd
打开命令行模式,默认应该在C:
输入命令 “cd" 使你的路径进入到 C:
输入命令 “dir/a" 应该可以看到 SiZhu.exe 和 autorun.inf 两个和病毒有关的文件
这两文件被加了系统文件的属性所以你无法直接用DEL指令删除
输入命令 “attrib SiZhu.exe" 可以看到文件的属性 SH
输入命令 “attrib -s -h SiZhu.exe" 去掉它的属性
输入命令 “del SiZhu.exe" 完成删除
输入命令 “attrib -s -h autorun.inf"
输入命令 “del autorun.inf" C: 的清除完成
输入命令 “D:" 进入D: 完成和C:下同样的操作删除这两个文件
之后依次进入 E: F: 删除你所有盘符下的这两个文件
到此病毒清除完成
此时你如果想在WINDOWS下进入你的电脑的各个盘符,你会发现无法打开
先不管它,等全部处理完,重启后就OK了

然后修复你的注册表
点开始菜单->运行 输入regedit
打开注册表编辑器
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options
这里面有你被禁止运行的杀毒软件,有你认识的杀毒软件的名字的键值就删掉,不认识的别乱删
理论上说键值为 “ntsd -d" 的都是被SiZhu病毒加进去的
之后杀毒软件就可以启动了

显示隐藏文件
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL
将"CheckedValue"键值改为1

取消其开机自动运行
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
将其中的SiZhu.exe删掉

最後,在每個槽中新增一個隱藏唯讀的 SiZhu.exe 資料夾
以防萬一


發表迴響

在下方填入你的資料或按右方圖示以社群網站登入:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / 變更 )

Twitter picture

You are commenting using your Twitter account. Log Out / 變更 )

Facebook照片

You are commenting using your Facebook account. Log Out / 變更 )

Google+ photo

You are commenting using your Google+ account. Log Out / 變更 )

連結到 %s

分類

%d 位部落客按了讚: