驾校考试秘笈 不用看书就能通过!! 暂时不考也先留着 别等着急的时候没处找.docVIP

“U盘百家姓”(Win32.Hack.Popwin.ai.18474)，这是一个可通过U盘传播的病毒。它会破坏杀毒软件的正常运行，并从指定的网址上下载大量恶意软件在用户计算机上。此病毒最大的特点是一切病毒相关的服务名和文件名都是随机生成的。　　“杀手传声筒”(Win32.Troj.Agent.401408)，这是一个远程控制类木马。它能破坏杀毒软件的正常运行，并在本地创建客户端，向远程服务端传送本地计算机的情况，为黑客入侵用户电脑系统提供机会。　　“U盘百家姓”(Win32.Hack.Popwin.ai.18474)威胁级别：　　病毒运行后，在%Windows%\system32\目录下释放出一个.EXE格式文件和一个.DLL格式文件。需要注意的是，这两个病毒文件的文件名是病毒根据已内定的某些字符，与用户电脑上的系统盘卷序列号进行计算而随机生成的八位数，因此并不固定。然后，它修改注册表，创建注册启动项，达到随系统自动启动之目的，其中的服务名也是随机生成。病毒还会在每个磁盘分区的根目录下生成病毒文件auto.exe和辅助文件autorun.inf，当用户双击打开磁盘，病毒文件就会再次运行。此后，如果用户在中毒电脑上使用U盘等移动存储器，病毒就会将其传染。　　与此同时，病毒迅速搜索计算机进程，如发现杀毒软件卡巴斯基的进程文件avp.exe，则修改系统时间为2005年。由于卡巴斯基的激活文件需依赖系统时间，此举将导致卡巴斯基失效。病毒还会尝试对金山毒霸下手，它会搜索毒霸的运行窗口，并试图将其关闭。　　当解决掉杀毒软件，病毒就会悄悄连接木马作者指定的网址，通过读取升级文件update.txt，获取其它病毒及恶意软件的最新下载地址，并把它们下载到用户计算机上运行，给用户造成更大的损失。?????? 解决方案查杀方法：一.清除病毒主程序（随机8位字母和数字组合的exe和dll）必须首先清除auto.exe和其生成的随机8位字母和数字组合的exe和dll，因为他是木马群的万恶之源！！1.首先下载sreng这个软件（官方下载地址:/sreng/sreng2.zip）解压缩后运行srengps.exe依次点击“启动项目”-“服务”-“Win32服务应用程序” 之后勾选“隐藏经认证的微软项目”等待列表出来之后 查找那种不规则的随机8位字母（大写）和数字组合的服务然后选中下面的 “删除服务” 并单击设置按钮在弹出的框中点“否”2.重启计算机进入安全模式下 把下面的代码拷入记事本中然后另存为chyx.reg文件Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]RegPath=Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\AdvancedText=@shell32.dll,-30500Type=radioCheckedValue=dwordValueName=HiddenDefaultValue=dwordHKeyRoot=dwordHelpID=shell.hlp#51105双击chyx.reg把这个注册表项导入双击我的电脑--工具--文件夹选项--查看--单击选取显示隐藏文件或文件夹 并清除隐藏受保护的操作系统文件（推荐）前面的钩。在提示确定更改时，单击“是” 然后确定点击 菜单栏下方的 文件夹按钮（搜索右边的按钮）删除如下文件C:\auto.exeC:\autorun.inf以及每个分区下面的auto.exe和autorun.inf%system32%文件夹下的随机8个字母和数字组合的exe和dll即本例中的C:\WINDOWS\system32\E2050308.DLLC:\WINDOWS\system32\F2F187EC.EXE至此病毒主程序已经被删除了，接下来清除其下载的木马二.清除病毒下载的木马（由于每个变种下载的木马不尽相同，因此本例仅供参考）还是在安全模式下打开sreng启动项目 注册表 删除如下项目[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]mppdsC:\WINDOWS\mppds.exe []Kvsc3C:\WINDOWS\Kvsc3.exe []DiskMan32C:\WINDOWS\kterzx.exe