再过一阵子时间,开始关闭任务管理器(在某一小段时间内拼命关闭,就算当前已经没有打开任务管理器也要执行这个操作),并且开始是从最后一个盘开始列举文件,每一个文件都执行open操作),
这个时候你直接双击IceSword1.2利器,是没有用的,不过你可以从cmd运行那里切换到IceSword的目录下,输入IceSword /c 加一个/c参数就可以正常运行IceSword利器来终止这个病毒。
用命令行检查系统中是否存在默认共享(Z$,H$,F$,E$,D$,C$,admin$),默认共享存在的话就运行net share命令关闭这些默认共享(cmd.exe /c net share Z$ /del /y),这个操作是从最后那个共享盘开始删除,还是随机的,并且是重复性动作:
同时感染exe,com,scr等文件,上图显示的prevented阻止标志就是病毒试图感染exe文件,但是被Tiny拒绝。
修改以下值不显示隐藏文件
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALLCheckedValue->0x00
但是给Tiny阻止了。
关闭regedit命令,在某一小段时间内拼命关闭,就算当前没有regedit 进程
一般到这个时候,病毒已经发作到颠峰之处了。系统备份工具GHOST备份文件已经被删除了,下图是删除所有以gho为后缀的备份文件,115ghost那个目录我本备份两个文件,一个是以.gho为后缀的,已经被删除掉,以.o结尾的就没有被删除(所以建议各位GHOST备份的时候最好把后缀名修改其他的字符,随便什么字符都行)。
每隔一段时间删除安全软件在注册表中的键值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
RavTask
KvMonXP
Kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStartEXE
YLive.exe
Yassistse
每一个被列举过的目录都有标记文件Desktop_.ini
在扩展名为htm,html, asp,php,jsp,aspx的文件的末尾添加一网址,
上一页 [1] [2] [3] [4] [5] [6] 下一页
|
网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)