找到Mstray.exe(註意這個是系統和隱藏的文件,在系統文件夾下找到它),刪除掉.並修改註冊表,去掉HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run 下KI.exe和Mstray.exe啟動項,接著:利用的Windows的搜索功能,搜索所有的:
Winfile.exe,comment.htt,desktop.ini(;去掉文件系統保護,隱藏屬性)
有些desktop.ini是windows原有的文件。
最後:查找硬盤內所以的*.exe]文件, 妳會發現好多的文件夾圖標形式的.exe文件,刪除掉所有這些文件
worm.sober 病毒名稱: Worm.Sober
中文名稱: 清醒
威脅級別: 3C
病毒類型: Worm
受影響系統: Win9x/NT/2K/XP
病毒別名:
I-Worm.Sober[AVP]
W32.Sober@mm[Symantec]
該蠕蟲病毒會偽裝成含反病毒軟件的郵件,引誘戶打開其附件。病毒激活後會在宿主機器上發送大量帶毒郵件,大量浪費系統資源和網絡資源。Sober病毒已在歐洲,尤其是英國和德國造成了巨大的影響。
技術特征:
1、自我復到系統目錄(%system%),病毒復本的文件名為:
similare.exe
systemchk.exe
winrea.exe
2、添加註冊表啟動項,以隨機啟動
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"syspath" = "%System%\drv.exe"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"syspath" = "%System%\drv.exe"
3、通過郵件傳播,郵件主題不定,正文為英文和德文文本,附件後綴可能為bat、com、exe、pif、scr。
a、通常郵件主題和內容為“該郵件的附件為"Sobig-Worm"(“巨無霸”Worm.Sobig)病毒的清除工具”,以引誘用戶打開其附件;
例如:
Subject: New Sobig-Worm variation (please read)
Body text: New Sobig variation in the net.
You must change any settings before the worm control your computer!
But, read the official statement from Norton Anti Virus!
File attachment: NAV.pif
b、染毒的郵件通常帶有如下簽名:
Automatic Mail notification: Robot-System__#
c、病毒搜索後綴為“htt、rtf、doc、xls、ini、mdb、txt、htm、html、wab、pst、fdb、cfg、ldb、eml、abc、ldif、nab、adp、mdw、mda、mde、ade、sln、dsw、dsp、vap、php、asp、shtml、shtm”文件中的郵件地址,並發送帶毒文件給他們。
解決方案:
如果您的系統突然速度下降,或是在打開某壹程序時,彈出下圖中的對話框,則您的系統有可能中了“清醒”蠕蟲病毒了,請采用以下方法查殺:
1、請升級您的金山毒霸到10月30日的版本,既可完全查殺該病毒;
2、請不要相信以任何名義來發送反病毒工具的郵件,此次特別是針對“巨無霸”(Worm.Sobig)病毒的工具;
3、手工清除方法:
對於WIN9X用戶可以在純DOS模式下刪除以下病毒文件:
%system%\similare.exe
%system%\systemchk.exe
%system%\winrea.exe
對於Win2000/WinXP用戶,請使用進程管理器結束名為:“similare.exe、systemchk.exe、winrea.exe”的進程,然後刪除以下文件:
%system%\similare.exe
%system%\systemchk.exe
%system%\winrea.exe
刪除病毒在註冊表中添加的啟動項目:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"syspath" = "%System%\drv.exe"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"syspath" = "%System%\drv.exe"