手工清除severe.exe病毒

我的網站：[url]www.itheroes.cn[/url]
轉載請指明文章出自51CTO博客(blog.51cto.com)

 

我在作計算機維護時發現有幾臺計算機中了一種不知名的病毒，感染這種病毒的症狀以下：

一、  計算機系統時間被修改成2004年；

二、  系統沒法顯示隱藏的文件和文件夾，在「文件夾選項」設置顯示隱藏的文件和文件夾後，再次打開「文件夾選項」，會發現又恢復到之前的設置，即「不顯示隱藏的文件和文件夾」；

三、  殺毒軟件沒法正常啓動和運行，部分系統程序和安全工具沒法運行，如：msconfig.exe、regedit.exe、冰刃（icesword）、360安全衛士等；

四、  系統進程中會有tfidma.exe、severe.exe兩個進程，在系統安全模式和正常模式下都會隨系統啓動，且強制關閉後，這兩個進程會立刻啓動；

五、  系統的hosts文件被修改，形成部分網站域名被劫持，當訪問這些網站時，網站沒法打開；

六、  在系統分區的根目錄下有oso.exe和autorun.inf兩個隱藏文件，當咱們雙擊系統分區的盤符時，系統會執行autorun.inf文件中的命令，運行oso.exe文件。

1、清除病毒方法

儘管咱們能夠將msconfig.exe等程序更名或者將程序的擴展名修改爲scr、com後運行，但系統進程中的病毒程序tfidam.exe和severe.exe仍是會將咱們運行msconfig.exe等程序所修改的系統設置恢復到之前的狀態，難道就沒有辦法對付這種病毒了嗎？答案固然是否認的，病毒的製造者疏忽了一點，那就是咱們能夠利用組策略使tfidam.exe和severe.exe在開機時沒法運行，而後將其刪除。單擊「開始」—「運行」，在「運行」對話框「打開」欄中輸入「gpedit.msc」後，單擊「肯定」按鈕。在出現的組策略窗口中，依次展開「用戶配置」、「管理模板」、「系統」，此時在右側的窗口中能夠看到一個「不要運行指定的Windows應用程序」選項，雙擊該項，打開相應的窗口，如圖1所示。

                                圖1
依次選擇「已啓用」、「顯示」、「添加」，分別將tfidam.exe和severe.exe加入其中。而後從新啓動計算機，進入系統後，咱們會發現進程中已經沒有了tfidam.exe和severe.exe兩個進程，而且msconfig等程序也能夠運行了。這個方法對大部分***病毒都頗有效，你們之後若是遇到比較頑固的病毒時，能夠試試這個方法。由於在正常狀況下，經過系統的瀏覽文件功能沒法查看到tfidam.exe和severe.exe，因此咱們運行冰刃（icesword），使用它的文件瀏覽功能，將c:\windows\system32目錄下的tfidam.exe和severe.exe刪除掉。
2、恢復系統設置
一、  將系統時間修改成正常時間；
二、  打開註冊表修改HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL下的checkedvalue值爲1，系統恢復顯示全部文件和文件夾功能；
三、  使用「AUTO病毒專殺」這款軟件，將系統分區的根目錄下的oso.exe和autorun.inf清除掉；
四、  使用360安全衛士自動修復被修改的hosts文件。
3、防範措施
爲避免之後再次感染severe.exe或其餘病毒，建議：
一、安裝殺毒軟件以及軟件防火牆，常常升級殺毒軟件，更新病毒代碼庫，按期對系統進行全面殺毒；
二、常常升級系統及應用軟件補丁；
三、不要輕易打開來歷不明的可疑的文件，不輕易打開郵箱中的附件，在打開前先使用殺毒軟件掃描一下。不瀏覽不良網站，養成良好的上網習慣；
四、關閉不須要的系統服務；
五、關閉Guest賬號或者給其起一個足夠複雜的密碼，併爲其餘用戶也起上覆雜的密碼；
六、禁止全部用戶對c:\windows\system32下的cmd.exe，net.exe和net1.exe這三個文件訪問，在咱們須要訪問這些文件的時候再加上訪問用戶。

 

我的網站：[url]www.itheroes.cn[/url]
轉載請指明文章出自51CTO博客(blog.51cto.com)