中科新闻网南方电网企信app:电脑中了Email-worm.win32.brontok.a病毒,已经杀掉了,但是系统如何修复
来源:百度文库 编辑:中科新闻网 时间:2024/04/27 20:09:49
可以用 Brontok Washer清除和修复。
下载地址:
http://jeruk.padinet.com/~ertanto/ ,请查询最新版本。
http://jeruk.padinet.com/~ertanto/BrontokWasher.zip
http://wirusy.antivirenkit.pl/en/szczepionki/Brontok.html
你看完这篇文章就明白了。
发作特征:病毒名叫Brontok,瑞星对它的编码为worm.mail.brontok.bm,它在我电脑(比如我的文档,我的图片里)许多关键的地方复制了自己,把自己伪装成视窗自带的文件,命令在每次开机时运行它,在可能对自己造成危险时重新启动(这就是无法更新瑞星的原因),在我的电脑里收集邮箱地址,没事就发发邮件。该病毒为了防止被删除,删除了 打开我的电脑后, 工具-〉文件夹选项。使人不能察看隐藏文件。(、如果你输入病毒所在的路径,试图手工清除,该病毒会迫使电脑立刻重新启动;在打开命令行窗口时也会重新启动)。
引用别人一段话来说明该病毒所在路径:文中所有的 %System% 字眼,是你安装windows得途径。通常是
C:\Windows\System (Windows 95/98/Me),
C:\Winnt\System32 (Windows NT/2000),
C:\Windows\System32 (Windows XP).
%UserProfile% 则是你的用户名以下的文件,通常在
C:\Documents and Settings\[你的windows用户名] (Windows NT/2000/XP).
举例:
当你看到 %UserProfile%\APPDATA\winlogon.exe
通常是指 C:\Documents and Settings\[你的windows用户名]\APPDATA\winlogon.exe
同样的, %System%\3D Animation.scr
在XP是指 C:\Windows\System32 Animation.scr
而如果你用win98,它则是 C:\Windows\System\3D Animation.scr
因为病毒会侵入各种版本的windows,所以病毒所在的途径也很难根据各个版本来写出,所以用 %System% 来代替。
其他描述:
当你不小心开到感染了病毒的文件,它会自动在这几个地方加入它的病毒文件
C:\Windows\PIF\CVT.exe
%UserProfile%\APPDATA\IDTemplate.exe
%UserProfile%\APPDATA\services.exe
%UserProfile%\APPDATA\lsass.exe
%UserProfile%\APPDATA\inetinfo.exe
%UserProfile%\APPDATA\csrss.exe
%UserProfile%\APPDATA\winlogon.exe
%UserProfile%\Programs\Startup\Empty.pif
%UserProfile%\Templates\A.kotnorB.com
%System%\3D Animation.scr
[b]注[/b]
%System% 是你安装windows的途径. 通常是
C:\Windows\System (Windows 95/98/Me),
C:\Winnt\System32 (Windows NT/2000),
C:\Windows\System32 (Windows XP).
%UserProfile% 则是你的用户名以下的文件,通常在
C:\Documents and Settings\[你的windows用户名] (Windows NT/2000/XP).
然后会创出这个folder
%UserProfile%\Local Settings\Application Data\Bron.tok-24
然后会在 C:\Autoexec.bat 写上
"pause" 覆盖之前的内容
然后会在注册表内添加内容
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Tok-Cirrhatus" = "%UserProfile%\APPDATA\IDTemplate.exe"
"Bron-Spizaetus" = "C:\WINDOWS\PIF\CVT.exe"
(这个记得要删除)
如果感染了,registry会被锁,照这个方法开启
在start>>Run > 打 [color=Red]Reg ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 0 /f[/color]
接着
在Run > 打 [color=Red]regedit[/color]
去到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
洗掉
"Bron-Spizaetus" = "C:\WINDOWS\PIF\CVT.exe"
"Tok-Cirrhatus" = "%UserProfile%\APPDATA\IDTemplate.exe"
然后手工清除上面所提到的所有病毒文件。
推荐的清除工具washer下载地址:
http://jeruk.padinet.com/~ertanto/ ,请查询最新版本。
http://jeruk.padinet.com/~ertanto/BrontokWasher.zip
http://wirusy.antivirenkit.pl/en/szczepionki/Brontok.html
注意,在某些电脑上,用washer清除可能会造成电脑不正常重新启动。请进入安全模式运行。
最好的方法是下载个注册表修复工具
你先到这里看看瑞星的注册表修复工具http://it.rising.com.cn/service/technology/RegClean_download.htm
如果仍然不能解决请按1楼的方法试试
假如"运行"被禁止掉那么请用下面介绍的方法:)
注册表编辑器已被禁用,我们用INF文件来解除。那么我们可以在记事本里写入下面的内容:
[Version]
Signature="$Windows NT$"
[DefaultInstall]
ADDREG=Myadd
[Myadd]
;解禁注册表编辑器
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools,1,0
然后把文件另存为一个INF文件,右击文件----点“安装”就可以啦^O^
我们可以看到第一个语段,在Signature后面的签名"$Windows NT$"它是指明我的操作系统是NT的,如果你的操作系统是98的在后面的签名中应该写"$CHICAGO$"。
再看第二个语段,等号左边的“ADDREG”是不能更改的,等号右边的内容就随你的心情啦,但是有一点要注意,就是要与在第三个语段中使用的语句保持一致。另外还有一项操作是“DELREG”(删除键)和“ADDREG”的用法一样,后面介绍。
好了,这回各位看观是不是想要跃跃欲试了呢,不要着急,好像还有一点和REG文件不一样噢,呵呵我看出来了,就是在文件的最后,怎么有“,”(注:逗号)。还有“HKCU”这些都是什么呀?
这就是与REG文件不一样的格式啦。
“HKCU”指的是注册表中的根键,其中“HKCU”是“HKEY_CURRENT_USER”的缩写,其它的还有“HKCR”---“HKEY_CLASSES_ROOT”、“HKLM”----“HKEY_LOCAL_MACHINE”、“HKU”----“HKEY_USERS”、“HKCC”----“HKEY_CURRENT_CONFIG”、“HKDD”----“HKEY_DYN_DATA”。如果你想要对哪个根键操作那么就可以按照上面的缩写对号入座了。
“,”(注:逗号),它是根键与子键、子键与键名、键名与键类型、键类型与键值的分割符。
在具体修改注册表键值语段的格式为:根键,子键,键名,键类型,键值(注:中间的逗号不能省略)。
上面这个文件中我们知道其实要修改的是DisableRegistryTools键,把它的值改为“0”。它的类型为DWORD(双字节),在INF文件有关注册表的操作中有字符串类型(用“0”表示)和二进制类型(用“1”表示),在网上没有找到INF文件表示双字节类型的资料,望知道的人补充。在这里我们直接用二进制类型就可以了,所以大家看到在键类型的位置上是个“1”,最后是要修改的键值“0”。
前面提到“DELREG”它是删除键值的操作,如果要想把DisableRegistryTools键删除的话可以这样写:
[Version]
Signature="$Windows NT$"
[DefaultInstall]
DELREG=Mydel
[Mydel]
;删除DisableRegistryTools键
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
就是省略掉键类型和键值字段,最后把这个文件另存为一个INF文件,右击文件----点“安装”就可以了。
好了,不知道各位看观是不是看明白了,没看明白也没关系,我写了一个,大家只要把下面的内容复制到记事本中,然后把这个文件另存为一个INF文件,最后右击文件----点“安装”就可以了。(注:这个文件可以解决前文中所提到问题,只能在NT系统中使用,主页会被改成20CN的首页,嘻嘻做个广告啦^O^)。
-----------------------------------------------------------------------------------
[Version]
Signature="$Windows NT$"
[DefaultInstall]
ADDREG=Myadd
[Myadd]
;解禁注册表编辑器
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools,1,0
;解禁IE的Internet选项
HKCU,Software\Policies\Microsoft\Internet Explorer\Restrictions,NoBrowserOptions,1,0
;解禁IE的Internet选项里面的各个具体选项
HKCU,Software\Policies\Microsoft\Internet Explorer\Restrictions,NoBrowserOptions,1,0
HKCU,Software\Policies\Microsoft\Internet Explorer\Control Panel,Settings,1,0
HKCU,Software\Policies\Microsoft\Internet Explorer\Control Panel,HomePage,1,0
HKCU,Software\Policies\Microsoft\Internet Explorer\Control Panel,GeneralTab,1,0
HKCU,Software\Policies\Microsoft\Internet Explorer\Control Panel,Cache,1,0
HKCU,Software\Policies\Microsoft\Internet Explorer\Control Panel,History,1,0
HKCU,Software\Policies\Microsoft\Internet Explorer\Control Panel,Colors,1,0
HKCU,Software\Policies\Microsoft\Internet Explorer\Control Panel,Fonts,1,0
HKCU,Software\Policies\Microsoft\Internet Explorer\Control Panel,Languages,1,0
HKCU,Software\Policies\Microsoft\Internet Explorer\Control Panel,Accessibility,1,0
HKCU,Software\Policies\Microsoft\Internet Explorer\Control Panel,SecurityTab,1,0
HKCU,Software\Policies\Microsoft\Internet Explorer\Control Panel,SecChangeSettings,1,0
HKCU,Software\Policies\Microsoft\Internet Explorer\Control Panel,SecAddSites,1,0
HKCU,Software\Policies\Microsoft\Internet Explorer\Control Panel,ContentTab,1,0
HKCU,Software\Policies\Microsoft\Internet Explorer\Control Panel,Ratings,1,0
HKCU,Software\Policies\Microsoft\Internet Explorer\Control Panel,Certificates,1,0
HKCU,Software\Policies\Microsoft\Internet Explorer\Control Panel,CertifPers,1,0
HKCU,Software\Policies\Microsoft\Internet Explorer\Control Panel,CertifSite,1,0
HKCU,Software\Policies\Microsoft\Internet Explorer\Control Panel,CertifPub,1,0
HKCU,Software\Policies\Microsoft\Internet Explorer\Control Panel,FormSuggest,1,0
HKCU,Software\Policies\Microsoft\Internet Explorer\Control Panel,FormSuggest Passwords,1,0
HKCU,Software\Policies\Microsoft\Internet Explorer\Control Panel,Wallet,1,0
HKCU,Software\Policies\Microsoft\Internet Explorer\Control Panel,Profiles,1,0
HKCU,Software\Policies\Microsoft\Internet Explorer\Control Panel,ConnectionsTab,1,0
HKCU,Software\Policies\Microsoft\Internet Explorer\Control Panel,Connection Wizard,1,0
HKCU,Software\Policies\Microsoft\Internet Explorer\Control Panel,Connwiz Admin Lock,1,0
HKCU,Software\Policies\Microsoft\Internet Explorer\Control Panel,Connection Settings,1,0
HKCU,Software\Policies\Microsoft\Internet Explorer\Control Panel,Proxy,1,0
HKCU,Software\Policies\Microsoft\Internet Explorer\Control Panel,AutoConfig,1,0
HKCU,Software\Policies\Microsoft\Internet Explorer\Control Panel,ProgramsTab,1,0
HKCU,Software\Policies\Microsoft\Internet Explorer\Control Panel,ResetWebSettings,1,0
HKCU,Software\Policies\Microsoft\Internet Explorer\Control Panel,Check_If_Default,1,0
HKCU,Software\Policies\Microsoft\Internet Explorer\Control Panel,AdvancedTab,1,0
HKCU,Software\Policies\Microsoft\Internet Explorer\Control Panel,Advanced,1,0
;解禁下载(可单独使用)
HKCU,Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3,1803,1,0
;自动修改IE标题栏文字、主页、搜索页等等
HKCU,Software\Microsoft\Internet Explorer\Main,Window Title,0,"Internet Explorer"
HKCU,Software\Microsoft\Internet Explorer\Main,Start Page,0,"http://www.20cn.net"
HKCU,Software\Microsoft\Internet Explorer\Main,Search Page,0,"http://www.20cn.net"
HKCU,Software\Microsoft\Internet Explorer\Main,Default_Page_URL,0,"http://www.20cn.net"
HKLM,SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL,0,"http://www.20cn.net"
HKLM,SOFTWARE\Microsoft\Internet Explorer\Main,Search Page,0,"http://www.20cn.net"
HKLM,SOFTWARE\Microsoft\Internet Explorer\Main,Start Page,0,"http://www.20cn.net"
HKLM,SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL,0,"http://www.20cn.net"
HKLM,SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL,0,"http://www.20cn.net"
在运行栏输入
REG Delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\V DisableRegistryTools
然后确定,即可解禁注册表编辑器 。
如果还不行就用记事本编辑如下内容:
On Error Resume Next
Set WSHShell=WScript.createObject("WScript.Shell")
With WScript.Create Object ("WScript.Shell")
WSHShell.REG Delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\V DisableRegistryTools"
End With
WSHShell.POPUP("成功解开你的注册表")
将其保存为Enable.vbs
再双击运行即可解开你的注册表。