W32病毒解法.doc

发现了W32.SillyFDC病毒，但无法清除。然后所有的.DOC文件都变成了.EXE文件。请问还有救吗？去下面网址把Hijackthis下载到桌面上,运行后点“Scan”,扫描结束后选“Save Log”，把Log文件保存在,桌面上。Hijackthis会自动打开这个Log文件，把里面的内容复制到论坛上。 这个病毒我前两天前杀过,首先要关闭smss.exe的进程,调出WINDOWS任务管理器,找到SMSS.EXE或1.com的PID号,进入DOS模式,用ntsd -r q -p (PID号)关闭不是SYSTEM用户的进程PID,运行输入注册表文件regedit.exe,进入HKEY_CLASSES_ROOT找到EXE将其键值改为EXEFILE,查找注册表有运行SMSS.EXE的项目删除,启动电脑在DOS下将windows下的SMSS.EXE删除,不要删除WINDOWSSYSTEM32下的SMSS.EXE.用杀毒软件在DOS下杀毒.我的任务管理器,禁止我删除那个程序,我不会运行DOS也不会开注册表啊,怎么办啊!还有没有其他办法记下任务管理器里面那个非SYSTEM用户的SMSS.EXE的PID号,点击开始-运行-输入CMD进入DOS,再dos下输入tsd -r q -p PID即可关闭了,如果看不到PID,点击任务管理器的查看-选择列-选中PID(进程标识符)即可看到那个PID了.PID我是看到了,是这样输入吗? tsd(空格) -r(空格) q-p(空格) 772我这样输入不行提示说不是内部或外部命令,也不是可运行的程序或批处理文件可以,不过一会儿又会出来了,最好拨出网线,中止进程后到WINDOWS下,右键点击查看-详细信息,按日期排序,找到那个SMSS.EXE文件,和它同一日期时间的ExERoute.exe 等相同的程序文件一起删除.1.com方法相同.还有要去掉注册表RUN项目中的键值,太多了,这是手工杀法,最好用杀毒软件来杀(用一个干净的启运软盘或启动光盘启动到DOS下)以下正确:ntsd(空格) -r(空格) q(空格) -p(空格) 772如在所有程序、控制面板中有3721的上网助手、网络实名、中文域名服务等，要先卸载，重启电脑再扫描发新LOG。发了LOG,自有很多高手帮你。转金山毒霸6另类技巧 金山毒霸的主要功能是杀病毒，除此以外它还有其他妙用，而且功能还很不简单呢！下面就让我们一起来体验一下金山毒霸带给我们的惊喜。一、恢复文件关联 如果木马、病毒或误操作破坏了文件的正常关联，则会导致本机中所有文件无法运行。其实用金山毒霸能很快恢复文件关联。进入金山毒霸的安装目录，找到金山毒霸的主程序文件，把它改名为，然后运行，这样金山毒霸的主程序就被启动了。关闭该文件，再把改名为，再运行任何文件试试，结果都可以运行了。因为金山毒霸每次启动时都会自动检查注册表中的关联是否正确，如果不是系统的默认值就会自动恢复。因此只要将改名为文件运行一次，金山毒霸就会帮我们自动恢复文件关联，而我们正是巧妙地利用了这一点。 Infostealer 解决此病毒的方法：随便打开一文件夹，点“工具”“文件夹选项”“文件类型”“新建”输入“exe”“高级”关联文件类型选择“应用程序”“确定”后就搞定了。 W32.sillyFDC: 该病毒会修改注册表，在“HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun”建立键值 OFFICE=%system%order.exe。进入安全模式，在注册表中删除这个键值。找到系统盘中的order.exe文件也删除之。查找整个硬盘下文件图标为word2000的图标的.EXE文件。将他们也删除。因为这个病毒会查找电脑中的所有.DOC文件，并把它们替换为同名的.exe病毒文件。 该病毒会修改注册表，在开始运行regedit确定“HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun”建立键值 OFFICE=%system%order.exe。进入安全模式，在注册表中删除这个键值。找到系统盘中的 order.exe文件也删除之。查找整个硬盘下文件图标为word2000的图标的.EXE文件。将他们也删除。因为这个病毒会查找电脑中的所有.DOC文件，并把它们替换为同名的.exe病毒文件。 更新你的杀毒软件的病毒库。再做一次全面查杀。 请教高手,我的电脑染上了W32.SillyFDC病毒,病毒在优盘上,用诺顿查到,可是没法修复和彻底删除,怎么办?肯请大家帮帮忙啊!急啊!闹心啊! 说明：文件G:RECYCLERRECYCLERautorun.exe感染了W32.SillyFDC病毒。 我有试过HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun”建立键值但是我的电脑上没有后两项，还有我不知道你所说的键值是什么键值，我看见新建里有5个值，但不清楚你所说的是什么值，能告诉我吗？我对这方面的东西不懂。 现在我在上面所录的声音在电脑上听不成。不知是怎么回事？帮帮我吧，谢谢！到任务管理器看下有无它的进程或相关进程,有把它关闭.之后到启动项看下有无它的自启动,有关闭.进入安全模式,到所处中毒路径把中毒文件删了.删了之后到注册表把病毒名称病毒文件搜索一下,搜到一个删一个 To function correctly, the worm must be executed with the filename CindyCrawford.scr. When executed from a disk in the A: drive, the worm copies itself as a hidden file to C:CindyCrawford.scr. The registry value below is set so that the worm executes at each Windows start.HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunFsystray = C:CindyCrawford.scrIf the worm is executed from the root directory (C:), it will overwrite itself as a hidden file and set the above registry value. 先去进程再删文件最后搞注册表，试试吧、为了要正确的动作,虫一定与一起运行 filename CindyCrawford.scr 。 当从一个磁盘片运行的时候在那一: 推进力,虫复印它本身如一个隐藏的文件到 C:CindyCrawford.s