Trojan.Killonce

病毒名称：一次干掉（Trojan.Killonce）

病毒类型：木马病毒

发作时间：随机

传播方式：网络

警惕程度：★★★★

病毒介绍：

此病毒运行时会首先将自身藏入系统目录，然后将自身放入自启动项。它具有很强的局域网传播能力，当发现局域网中有完全共享的系统目录时，此病毒就将此系统目录中的rundll32.exe文件改名为run32.exe，同时将自己放入到此系统目录中，并改名为rundll32.exe。利用同样的方法，此病毒还会替换掉注册表编辑器程序，造成注册表编辑器程序无法正常使用。另外此病毒会通过修改注册表产生破坏，导致注册表编辑器被禁用。同时造成打开所有的应用程序与文本文件时，病毒都会自动运行，表现出来的状态就是无法正常打开这些文件，无法正常使用计算机。

解决方案：

首先，查找硬盘，清除病毒体。

(1) 在WINDOWS目录中查找run32.exe文件，如果发现则证明病毒存在，则将同目录下的rundll32.exe文件删除，将run32.exe文件改名为：rundll32.exe。

(2) 在WINDOWS目录中查找regedit.exe.sys 文件，如果找到则证明病毒存在，将同目录下的regedit.exe文件删除，将regedit.exe.sys文件改名为：regedit.exe。如果无法删除这些文件，可以用启动盘进入DOS模式下，将这些病毒文件删除；如果硬盘分区是NTFS格式的，可以用瑞星DOS版查杀此病毒。

其次，修改注册表，清除病毒键值。

(1)查看注册表的HKEY_LOCAL_MACHINE\\SoftWare\\Microsoft\\Windows\\CurrentVersion\\Run项，看其中是否有上面提到的文件，如果有，则将这些键值删除即可清除病毒键值。

(2)查看注册表的HKEY_CLASSES_ROOT\\Exefile\\shell\\open\\command的键值，正确的“默认”项的内容为：“"%1" %*”，如果不是，则修改。

(3)查看注册表的HKEY_CLASSES_ROOT\\Txtfile\\shell\\open\\command的键值，正确的“默认”项的内容为：“%SystemRoot%\\system32\\NOTEPAD.EXE %1”，如果不是，则修改。