Trojan.Killonce
病毒名称:一次干掉(Trojan.Killonce)
病毒类型:木马病毒
发作时间:随机
传播方式:网络
警惕程度:★★★★
病毒介绍:
此病毒运行时会首先将自身藏入系统目录,然后将自身放入自启动项。它具有很强的局域网传播能力,当发现局域网中有完全共享的系统目录时,此病毒就将此系统目录中的rundll32.exe文件改名为run32.exe,同时将自己放入到此系统目录中,并改名为rundll32.exe。利用同样的方法,此病毒还会替换掉注册表编辑器程序,造成注册表编辑器程序无法正常使用。另外此病毒会通过修改注册表产生破坏,导致注册表编辑器被禁用。同时造成打开所有的应用程序与文本文件时,病毒都会自动运行,表现出来的状态就是无法正常打开这些文件,无法正常使用计算机。
解决方案:
首先,查找硬盘,清除病毒体。
(1) 在WINDOWS目录中查找run32.exe文件,如果发现则证明病毒存在,则将同目录下的rundll32.exe文件删除,将run32.exe文件改名为:rundll32.exe。
(2) 在WINDOWS目录中查找regedit.exe.sys 文件,如果找到则证明病毒存在,将同目录下的regedit.exe文件删除,将regedit.exe.sys文件改名为:regedit.exe。如果无法删除这些文件,可以用启动盘进入DOS模式下,将这些病毒文件删除;如果硬盘分区是NTFS格式的,可以用瑞星DOS版查杀此病毒。
其次,修改注册表,清除病毒键值。
(1)查看注册表的HKEY_LOCAL_MACHINE\\SoftWare\\Microsoft\\Windows\\CurrentVersion\\Run项,看其中是否有上面提到的文件,如果有,则将这些键值删除即可清除病毒键值。
(2)查看注册表的HKEY_CLASSES_ROOT\\Exefile\\shell\\open\\command的键值,正确的“默认”项的内容为:“"%1" %*”,如果不是,则修改。
(3)查看注册表的HKEY_CLASSES_ROOT\\Txtfile\\shell\\open\\command的键值,正确的“默认”项的内容为:“%SystemRoot%\\system32\\NOTEPAD.EXE %1”,如果不是,则修改。