病毒又出新秀“一次干掉”病毒Trojan.Killonce
病毒名称:一次干掉(Trojan.Killonce)
病毒类型:木马病毒
发作时间:随机
传播方式:网络
警惕程度:★★★★
病毒介绍:
此病毒运行时会首先将自身藏入系统目录,然后将自身放入自启动项。它具有很强的局域网传播能力,当发现局域网中有完全共享的系统目录时,此病毒就将此系统目录中的rundll32.exe文件改名为run32.exe,同时将自己放入到此系统目录中,并改名为rundll32.exe。利用同样的方法,此病毒还会替换掉注册表编辑器程序,造成注册表编辑器程序无法正常使用。另外此病毒会通过修改注册表产生破坏,导致注册表编辑器被禁用。同时造成打开所有的应用程序与文本文件时,病毒都会自动运行,表现出来的状态就是无法正常打开这些文件,无法正常使用计算机。
解决方案:
首先,查找硬盘,清除病毒体。
(1) 在WINDOWS目录中查找run32.exe文件,如果发现则证明病毒存在,则将同目录下的rundll32.exe文件删除,将run32.exe文件改名为:rundll32.exe。
(2) 在WINDOWS目录中查找regedit.exe.sys 文件,如果找到则证明病毒存在,将同目录下的regedit.exe文件删除,将regedit.exe.sys文件改名为:regedit.exe。如果无法删除这些文件,可以用启动盘进入DOS模式下,将这些病毒文件删除;如果硬盘分区是NTFS格式的,可以用瑞星DOS版查杀此病毒。
其次,修改注册表,清除病毒键值。
(1)查看注册表的HKEY_LOCAL_MACHINESoftWareMicrosoftWindowsCurrentVersionRun项,看其中是否有上面提到的文件,如果有,则将这些键值删除即可清除病毒键值。
(2)查看注册表的HKEY_CLASSES_ROOTExefileshellopencommand的键值,正确的“默认”项的内容为:“"%1" %*”,如果不是,则修改。
(3)查看注册表的HKEY_CLASSES_ROOTTxtfileshellopencommand的键值,正确的“默认”项的内容为:“%SystemRoot%system32NOTEPAD.EXE %1”,如果不是,则修改。
为避免用户遭受损失,瑞星公司已经进行了软件升级,瑞星杀毒软件14.20及以上的版本可以自动截获并清除此病毒,望广大用户及时升级。目前瑞星用户只需及时升级手中的软件即可彻底查杀“一次干掉”病毒。如遇到异常情况,可随时拨打瑞星反病毒急救电话:010-86243236或登陆瑞星反病毒网http://www.rising.com.cn,瑞星反病毒专家将为您提供全方位的技术支持与服务!