每次把移动硬盘借给同学一次都会中AUTORUN病毒,可又不好意思不借给,前几次中的病毒还比较好处理,只要显示隐藏文件并且手工删除掉就可以了,昨天又有同学借我硬盘拷电影,今天用时刚插上就提示有病毒,仔细一看还是AUTORUN病毒,可是这次和前几次不一样,这次的病毒会自我无限复制,并且在系统文件夹和注册表中修改了几次键值,还插入了IE和explorer进程中,删不掉,显示也显示不出来,从网上搜索了一下,找到了手工解决方法~~!
病毒名:Trojan-Spy.Win32.Delf.uy
这是一个无进程病毒,病毒主体就是一个dll(动态链界库)的形式。通过rundll32.exe激活,注入进程的方式发作。
该病毒利用autorun.inf里面的信息重新激活了病毒,病毒被激活后会不断地在system32文件夹下面生成sysinfo.dll,插入到explorer.exe和winlogon.exe里面,在各个分区生成sysinfo2.dll(和sysinfo.dll时同一个文件)和autorun.inf,利用自动播放功能进行传播。
注册表方面:不断创建HKCR\CLSID\{989D2FEB-5411-4565-8988-1DD2C5263377}以及其子项和子键,HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{989D2FEB-5411-4565-8988-1DD2C5263377}以及其子键,实现浏览器劫持,不断地将HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced下面的ShowSuperHidden的值设为4,使得用户不能查看隐藏文件。
解决办法:
首先,机器重新启动到安全模式下
用强制删除工具(如冰刃)删除system32下面的sysinfo.dll,并删除各个分区下的autorun.inf和sysinfo2.dll。
将注册表的HKCR\CLSID\{989D2FEB-5411-4565-8988-1DD2C5263377}值删除,HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{989D2FEB-5411-4565-8988-1DD2C5263377}也删除掉,HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced的ShowSuperHidden删除。在进行注册表搜索,将所有的sysinfo.dll和sysinfo2.dll相关的项目删除。
重新启动计算机,问题解决。
预防办法:
可以自己手动在移动硬盘的分区下建立autorun.inf文件,并且把权限设置成拒绝一切修改、运行和读取,如下图。
当然,要保证磁盘格式是NTFS格式,可以在命令提示符下用convert 盘符
