此病毒運行後創建以下檔案 C:\WINDOWS\Sizhu.exe 在每個盤符下生成autorun.inf檔案以及sizhu.exe檔案並在註冊表中寫入鍵值:
基本介紹
- 中文名:sizhu.exe
- 外文名:瘋狂劫持者病毒
- 病毒類型:蠕蟲
- 影響的平台:WIN9X/ME/NT/2000/XP/2003
- 檔案大小:9216位元組
簡介,手動解決方法,
簡介
病毒名稱:Worm.Win32.Autorun.eed(瘋狂劫持者病毒)
檔案大小:9216位元組
病毒類型:
危害等級:★★★★★
影響的平台:WIN9X/ME/NT/2000/XP/2003
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options(映像劫持,阻止安全類的軟體運行、禁止殺軟網站及禁止CMD運行)。
手動解決方法
首先你要修復安全模式
下載一個 sreng 軟體 如果你的電腦無法下載在別的電腦上下一個拷過來
修改檔案名稱 比如修改為abcabc,因為這個軟體也被SiZhu病毒禁止運行了
修改後,打開sreng
系統修復 高級修復 點擊修復安全模式 在彈出的對話框中點擊是
修復好後立刻重啟按F8進安全模式
安全模式起來後切記不要進任何一個盤,否則病毒立刻發作
進安全模式後,點開始選單->運行 輸入cmd
打開命令行模式,默認應該在C:
輸入命令 "cd\" 使你的路徑進入到 C:\
輸入命令 "dir/a" 應該可以看到 SiZhu.exe 和 autorun.inf 兩個和病毒有關的檔案
這兩檔案被加了系統檔案的屬性所以你無法直接用DEL指令刪除
輸入命令 "attrib SiZhu.exe" 可以看到檔案的屬性 SH
輸入命令 "attrib -s -h SiZhu.exe" 去掉它的屬性
輸入命令 "del SiZhu.exe" 完成刪除
輸入命令 "attrib -s -h autorun.inf"
輸入命令 "del autorun.inf" C: 的清除完成
輸入命令 "D:" 進入D: 完成和C:下同樣的操作刪除這兩個檔案
之後依次進入 E: F: 刪除你所有盤符下的這兩個檔案
到此病毒清除完成
此時你如果想在WINDOWS下進入你的電腦的各個盤符,你會發現無法打開
先不管它,等全部處理完,重啟後就OK了
然後修復你的註冊表
點開始選單->運行 輸入regedit
打開註冊表編輯器
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
這裡面有你被禁止運行的防毒軟體,有你認識的防毒軟體的名字的鍵值就刪掉,不認識的別亂刪
理論上說鍵值為 "ntsd -d" 的都是被SiZhu病毒加進去的
之後防毒軟體就可以啟動了
顯示隱藏檔案
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
將"CheckedValue"鍵值改為1
取消其開機自動運行
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
將其中的SiZhu.exe刪掉
之後要運行你的防毒軟體進行全盤掃描,因為可能你的系統已經被下載了N多的木馬, 病毒殺完毒後重啟就OK了。
專家建議:
1.在任務管理器中查看是否有陌生的比較可疑的進程存在。
2.及時打全系統補丁。
3.在使用MSN或QQ類的即時聊天工具時,注意它們運行是否正常。
4.儘快安裝反病毒軟體並開啟實時監控功能。
5.注意經常更新防毒軟體的病毒庫來阻止被新病毒感染。
6.系統備份+更新。
