阿木 2008-1-10 02:52
txomou.exe病毒清除办法
[b]txomou.exe病毒txomou.exe木马中毒特征:[/b]
1、系统时间同样被改成2000年,日期,时间不变;
2、病毒被激发10分钟后,360安全卫士,瑞星等软件打开后直接自动关闭;
3、打开网页一定时间内关闭(有时候直接关闭,有时候输入搜索内容就被关闭);
4、该病毒夹带了另一个病毒0svth.exe(前面数字有好几个);
5、同样c:\windows\system32下有Autorun.inf这个文件;
6、最厉害的一招,更改所有HTML或者HTM文件,最后面夹带有该病毒的网页只要打开网页,即使杀完毒,该病毒同样被激发;
[b]txomou.exe病毒txomou.exe木马清除方法详解:[/b]
第一步,把年份改回来。
第二步,打开“我的电脑”的“文件夹选项”的“查看”选项卡,把“显示系统文件夹的内容”前打上√,把“隐藏受保护的操作系统文件(推荐)”前的√去掉,点上“显示所有文件和文件夹”,“隐藏已知文件类型的扩展名”前的√去掉,然后“应用”,“确定”。再进一遍“查看”选项卡,看看“显示所有文件和文件夹”选上了没有。如果选上了那还好,如果那个点还是在“不显示隐藏的文件和文件夹”上面的话,那么就需要修改注册表了。
第三步,打开注册表(开始—→运行—→regedit),依次展开至:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL分支,观察右边的窗口中的CheckedValue键值项,看其小图案是不是紫褐色的“ab”。如果是的话,那就需要作如下操作:
按右键,选“重命名”,把这个键值名复制下来后,把这个键值名字改掉,如后面加个1;然后在空白处点右键,然后“新建”—→“DWORD值”,然后把这个新建的DWORD值重命名为“CheckedValue”,再把其值改为1,把刚才那个“CheckedValue1”删掉。
现在再重新打开“文件夹选项”的“查看”选项卡,就可以把“显示所有文件和文件夹”选上了。
第四步,打开我的电脑,进入硬盘分区,右键选择“排列图标”中的“修改时间”,即选按“修改时间”的顺序排列文件,并在“文件夹选项”中的“查看”选择“应用到所有文件夹”。
第五步,打开每个分区的根目录,如C:/、D:/、E:/等,找到隐藏文件sos.exe和另一个貌似以auto开头的隐藏文件,分别删除。删除时,最好能先用unlocker解除锁定,因为我发现如果不先解锁的话,有可能貌似被删除了但却删除不干净——unlocker是一个不错的常备小工具,可以把一些正在运行中的文件给解锁。
第六步,打开主系统和备用系统的WINDOWS\system32文件夹,仔细察看文件修改的时间,把中毒那个时候生成可疑文件辨别清楚后,给咔嚓掉。其中一个就是那个TxoMoU.Exe,如果文件是按时间顺序排列的话,那几个病毒文件就在它的前后。
第七步,在同样的WINDOWS\system32文件夹,再寻找2000年同一天同一个时间生成其他几个可疑文件,仔细辨别并确认后,一并清除。如中毒时间是2007年11月22日17时47分的话,那么就寻找2000年11月22日17时47分左右生成的文件。
第八步,进入主系统和备用系统的WINDOWS\system32\drivers的文件夹,看看最新生成的文件是什么时候生成的。如果有中毒当天生成的,咔嚓掉。
第九步,打开主系统和备用系统的WINDOWS文件夹,具体操作与第七步相同。顺便把该文件夹下的Temp文件夹里的内容清空掉。
第十步,打开主系统和备用系统的Program Files\Internet Explorer\PLUGINS文件夹,看看有没最近生成的文件,有的话咔嚓掉。
第十一步,打开注册表,选“编辑”—→“查找”,分别用“sos.exe”和“TxoMoU”搜索,只要搜到的全给咔嚓掉。
第十二步,按下ctrl+alt+del,看看任务管理器是否能打开,如果提示被禁用,则打开注册表,依次展开至:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System,找到DisableTaskmgr键值项,把dword值设置为0。
第十三步,打开收藏夹,看看有没有木马留下的网页链接,如有则删除。
第十四步,准备删除U盘里的木马。如果用的是卡巴斯基,貌似插上后就会有提示是否允许运行,这时当然要选择否,并删除U盘里的病毒文件。
第十五步,如果不是卡巴斯基,那么保险起见,建议操作如下:先接上网线,上网,找一个叫“禁止运行指定文件”的小工具(压缩包约有0.97M),确认后下载,解压运行后,把“sos.exe”和“TxoMoU.exe”分别添加入禁止运行的文件名中,“免疫”,重启电脑。
第十六步,重启电脑后,打开“我的电脑”,插入U盘,系统读取U盘后,直接双击U盘盘符,或者用右键菜单中的“打开”,是打不开U盘的。这时,右键单击桌面上的“我的电脑”图标,选“资源管理器”,从左边的“文件夹”中打开U盘,删除病毒文件。
然后重启电脑,病毒基本清除完毕。最好用优化软件优化一下电脑,把垃圾文件再删除掉。
另外,建议再全盘杀一下毒,有时建立的还原点什么的还会有些残留的东西。
还有,进入“系统配置实用程序”中的“启动”项目,看看还有没有什么残留的项目,方法是“开始”—→“运行”,输入“msconfig”,打开后点最右边的“启动”选项卡,然后对其中的项目仔细加以判别,并根据其“命令”和“位置”,分别查找其在文件夹(注意调整至“显示隐藏文件”)和注册表的相应位置,咔嚓掉。
