2006年07月26日
 笨笨
最近忙着做课程设计,使用U盘频繁,一不小心就感染了个U盘病毒,后来才发现这个病毒感染面积之广,几乎只要有U盘MP3之类的都感染过这个病毒,在网上查看了些相关信息,发现都没有完美的解决方案,于是自己动手研究了一番,终于完美解决.
病毒分析
病毒名: vrius.win32.perlovga.a(卡巴)
病毒特征:U盘中生成copy.exe,host.exe,toy.exe,Autorun.inf文件,都是隐藏加系统的属性.
病毒表现:U盘与电脑相连后,双击进入U盘时会激活病毒,会在系统各个盘符的根目录下生成copy.exe,host.exe,toy.exe,Autorun.inf四个隐藏文件,并且会在系统的c:\windows\system32c:\windows目录下生成temp2.exe, svchost.exe 文件,此时会发现每个盘都变成自动播放,在系统中产生进程temp2.exesvchost.exe(迷惑性很强).其中temp2.exe是病毒的传播进程,svchost.exe是病毒所带的木马程序,负责网络通信,每当有新的U盘插入,temp2.exe就会检查并复制copy.exe,host.exe,toy.exe,Autorun.inf四个文件到U盘上,并且如果任一盘符根目录下的copy.exe host.exe, toy.exe, Autorun.inf文件被删除,temp2.exe会自动再次复制此四个文件到该盘符下.
病毒后遗症:用杀毒软件杀毒后,会出现无法打开盘符的提示,包括U盘.提示系统文件丢失等.
病毒清除
   首先调出任务管理器,结束掉temp2.exe进程和以当前用户名运行的svchost.exe进程(此处注意,必须是当前用户名运行的svchost.exe进程,用户名为system的是系统进程,结束掉这个进程很容易造成系统重启,建议到安全模式下杀毒).
   接下来开始干掉病毒的主要文件:
   先在文件菜单的工具的文件夹选型中的查看选项中将显示所有文件选上,取消隐藏受保护的系统文件选项,确定后以资源管理器的方式打开C盘,到相应目录下删除temp2.exe和svchost.exe文件,在根目录下删除掉copy.exe, host.exe, toy.exe, Autorun.inf文件,依次在资源管理器中打开其他盘,删除掉以上几个文件(在删除过程中,如果提示文件在使用或者磁盘保护无法删除提示之类的,记得调出任务管理器,干掉前面提到的temp2.exe进程,如果在安全模式下可能不会出现这样的问题).
   当然以上的清除过程也可以交给杀毒软件来完成,目前各大杀毒软件都能查杀,下面重点讲下如何避免杀毒后打不开硬盘和U盘的问题,主要是杀毒软件不会杀掉文件Autorun.inf文件和没有修复注册表带来的问题.
   如果是按上面手工删除的方法,可以直接开始修复注册表的步骤,如果是用杀毒软件查杀的,按手工的方法先将每个盘符下的Autorun.inf文件删除,如果害怕删错,可以用记事本先打开看看,如果看到如下字样,表示是病毒文件:
[autorun]
Shellexecute=copy.exe
   下面开始修复注册表:
   找到如下键值:
HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Explorer\MountPoints2 
依次查看下面每个子项,特别注意shell项下面,如果看见有Autorun项的,看有没有command项的,如果有,删除之(可以根容易的发现它对应当数据内容为copy.exe).记得这里一定要将这个键值下的所有子项都仔细检查一遍,清除干净,完成后按F5刷新几次注册表,呵呵,清除完毕,看看硬盘,完全恢复正常.
后记及其他
   在本次清除过程中,我还发现另外一个小的U盘蠕虫病毒,危害不大,只是感染后每次开机会跳出记事本,现在给出它的一些资料:
病毒名: worm.Win32.Delf.aj(AVP)
病毒文件:Autorun.exe, Autorun.inf.
autorun.inf的主要内容如下
[autorun]
open=.\RECYCLER\RECYCLER\autorun.exe
shell\1=Open
shell\1\Command=.\RECYCLER\RECYCLER\autorun.exe
shell\2\=Browser
shell\2\Command=.\RECYCLER\RECYCLER\autorun.exe
shellexecute=.\RECYCLER\RECYCLER\autorun.exe
同时有一个RECYCLER目录,下面有一个RECYCLER目录,是回收站的图标,进去后没有内容.
这个病毒的清除方法和上面介绍的一样,此处就不赘述了,通过这次研究发现,U盘病毒大多都是利用系统的自动播放功能来传播和激活.其传染范围很广,让人不厌其烦,希望这篇文章能为受这个病毒困扰的人带来一点帮助,第一次写文章,如果有错误,希望大家体谅和指出.