卡巴能找到病毒(病毒感染的是exe文件),不能清除,如果选择删除,则所有exe文件都删除了。
运行exe文件,会在该文件所在文件夹生成一个名为“0_.ii”的0字节文件。解压rar文件,同样产生“0_.ii”文件。
在C、D、E盘会生成setup.exe和autorun.inf两个隐藏文件。 电脑运行速度正常,只有个别exe文件不能正常运行。
该病毒文件在安全模式也能自动运行,并且伪装成系统进程,不能直接结束。此病毒还感染系统还原文件和注册表,即便你重装或还原了系统,病毒仍然存在。
―――――――――――――――――――――――――――――――――――――――
准备以下工具:
1. 冰刃 ICESword1.20(下载地址:http://www.motoyi.com/Down/Noted/200704/Down_10.shtml)
2. 卡巴斯基 6.0 (下载360安全卫士送免费正版卡巴斯基:http://down.360safe.com/setup.exe)
―――――――――――――――――――――――――――――――――――――――
杀毒过程:
1. 关闭所有驱动器的系统还原(具体就不用我说了吧,暂时不要删除System Volume Information文件夹)。
2. 运行 msconfig,关闭自启动项。
3. 清除IE的临时文件。(要删除所有脱机内容)
4. 安装并升级杀毒软件(我用的是卡巴6.0,被病毒干掉了,所以要重装),升级病毒库后重启。(暂且别扫描病毒。接下来的几步不要重启,否则可能功亏一篑)。
5. 显示所有文件(包括受保护的)。(注:工具――文件夹选项――查看――隐藏文件和文件夹――显示所有文件和文件夹,并且去掉“隐藏受保护的操作系统文件”前面的√。)
6. (通过任务管理器)运行冰刃ICESword。用冰刃(或金山毒霸系统清理专家)结束李鬼进程Winlogon。(注:我是同时用冰刃ICESword和金山毒霸系统清理专家的,或许用冰刃就行了。要看清楚,别把正常的给结束了。)
7. 用冰刃ICESword 强制删除C:\Windows\seystem下文件(如果有的话,也可能有更多)。 C:\Windows\seystem\Winlogon.exe
1.exe 2.exe 3.exe 4.exe 5.exe 6.exe 7.exe 8.exe 11.exe
12.exe 13.exe 14.exe 15.exe wll.exe wol.exe ienet.exe wo3.exe
8. 用冰刃ICESword 强制删除各分区下的 autorun.inf setup.exe
以上文件,可能要多删几次。