SimoneW32.Downadup.B无法彻底查杀
的有关信息介绍如下:
W32.Downadup.B病毒专杀方法 1.安装微软安全更新MS08-067,安装地址: http://www.microsoft.com/china/technet/security/bulletin/ms08-067.mspx 2.禁用系统还原(WindowsMe/XP) 如果正在运行WindowsMe或WindowsXP,建议您暂时关闭系统还原功能。此功能由系统默认为启用状态,一旦计算机中的文件遭到破坏,WindowsMe/XP可使用此功能还原文件。如果病毒、蠕虫或特洛伊木马感染了计算机,则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。 Windows禁止包括防病毒程序在内的外部程序修改系统还原。因此,防病毒程序或工具无法清除SystemRestore文件夹中的威胁。这样,系统还原就可能将受感染文件还原到计算机上,即使您已经清除了所有其他位置的受感染文件。 此外,病毒扫描也可能在SystemRestore文件夹中检测到威胁,即使您已清除此威胁。 注意:当您完全完成杀毒步骤,并确定威胁已清除后,请按照上述文档中的说明重新启用系统还原。 3.更新病毒定义。 4.查找并终止服务 (1)单击“开始”>“运行”。 (2)键入services.msc,然后单击“确定”。 (3)查找并选择检测到的服务。 (4)单击“操作”>“属性”。 (5)单击“停止”。 (6)将“启动类型”更改为“手动”。 (7)单击“确定”,然后关闭“服务”窗口。 (8)重新启动计算机。 5.根据需要,查找并删除任务计划 (1)单击“开始”>“程序文件”。 (2)单击>“附件”。 (3)单击>“系统工具”。 (4)单击>“任务计划”。 (5)找到并选择任务计划。 (6)单击删除此项目 (7)单击是并关闭“任务计划”窗口。 (8)重新启动计算机。 6.运行全面系统扫描 7.从注册表中删除键值 (1)单击“开始”>“运行”。 (2)键入regedit, (3)然后单击“确定”。 (4)导航至下列注册表项并将其删除: *HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[RANDOMNAME]"="rundll32.exe"[RANDOMFILENAME].dll",ydmmgvos" *HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\"dl"="0" *HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\"dl"="0" *HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\"ds"="0" *HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\"ds"="0" *HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORMGENERATEDSERVICENAME]\"DisplayName"="[WORMGENERATEDSERVICENAME]" *HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORMGENERATEDSERVICENAME]\"Type"="4" *HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORMGENERATEDSERVICENAME]\"Start"="4" *HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORMGENERATEDSERVICENAME]\"ErrorControl"="4" *HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORMGENERATEDSERVICENAME]\"ImagePath"="%SystemRoot%\system32\svchost.exe-k *HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORMGENERATEDSERVICENAME]\Parameters\"ServiceDll"="[PATHTOWORM]" (5)根据需要,将下列注册表项恢复到其以前的值: *HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\"TcpNumConnections"="00FFFFFE" *HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue"="0" (6)退出注册表编辑器。 注意:如果该风险在HKEY_CURRENT_USER下面创建或修改了注册表子项或注册表项,则其可能会为受感染的计算机上的每个用户创建这些项。若要删除或恢复所有注册表子项或注册表项,请使用各个用户帐户登录,然后检查上面所列的所有HKEY_CURRENT_USER项。 还有一杀手锏,对用户要求较高,见我博客:鬼影病毒终极杀手锏。
