 Session.exe [已经解决] |  悬赏分:0- 问题已经结束 |
| | 发表者:xia 于 2007-01-17 20:43:21 |
| 最佳答案 | 病毒是一个具有Excel图标的EXE可执行程序,运行后复制自身到系统目录:
%Windows%\svchost.exe
并创建多个副本:
%Windows%\Session.exe
%System%\FileKan.exe
%System%\SocksA.exe
向每个分区根目录复制:
tel.xls.exe
AUTORUN.INF
并创建AUTORUN.INF的副本:
%Windows%\BACKINF.TAB
AUTORUN.INF内容:
[AutoRun]
open=tel.xls.exe
shellexecute=tel.xls.exe
shell\Auto\command=tel.xls.exe
shell=Auto
创建启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ASocksrv"="SocksA.exe"
破坏“显示所有文件和文件夹”设置:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"="0"
每隔10秒钟检查复制病毒副本,重写注册表启动项和“显示所有文件和文件夹”设置信息:
从%Windows%\Session.exe复制还原各分区根目录的tel.xls.exe,从%Windows%\BACKINF.TAB复制还原各分区根目录的AUTORUN.INF。
清除步骤
==========
1. 结束病毒进程:
%Windows%\svchost.exe
2. 删除病毒文件:
%Windows%\Session.exe
%Windows%\svchost.exe
%Windows%\BACKINF.TAB
%System%\FileKan.exe
%System%\SocksA.exe
3. 通过磁盘分区右键菜单进入根目录,右键点击分区盘符,点击菜单中的“打开”进入分区根目录,删除根目录下的文件:
tel.xls.exe
AUTORUN.INF
4. 删除病毒启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ASocksrv"="SocksA.exe"
5. 修改“显示所有文件和文件夹”设置,到注册表以下位置:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
删除右边病毒创建的字符串值:"CheckedValue"="0"
新建DWORD值,名称:CheckedValue,数据:1
如果不会结束进程的操作,而且系统已经设置显示所有文件和文件夹,也可以尝试以下另外一种清除方法:
1. 删除病毒文件:
%Windows%\Session.exe
%Windows%\BACKINF.TAB
%System%\FileKan.exe
%System%\SocksA.exe
2. 通过磁盘分区右键菜单进入根目录,右键点击分区盘符,点击菜单中的“打开”进入分区根目录,删除根目录下的文件:
tel.xls.exe
AUTORUN.INF
3. 重新启动计算机
4. 删除病毒文件:
%Windows%\svchost.exe
5. 删除病毒启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ASocksrv"="SocksA.exe"
6. 修改“显示所有文件和文件夹”设置,到注册表以下位置:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
删除右边病毒创建的字符串值:"CheckedValue"="0"
新建DWORD值,名称:CheckedValue,数据:1
查看详细:http://zhidao.baidu.com/q?ct=17&word=Session.exe&tn=ikaslist&rn=10&pn=0 | | 回答者:知道博士 于 2007-01-17 20:43:23 | |
|  |
|
