计算机技术论坛

 找回密码
 立即注册

QQ登录

只需一步,快速开始

  • 欢迎访问 计算机技术论坛-电脑迷与初学者的家园!由于论坛管理严格,新注册会员可能遇到各种问题,无法解决的请发邮件 admin@jsjbbs.cn
查看: 3097|回复: 4

severe.exe病毒手工清除

[复制链接]
发表于 2009-4-9 10:29:41 | 显示全部楼层 |阅读模式
severe.exe病毒手工清除
感染这种病毒的症状如下:
1、 计算机系统时间被修改为2004年;
2、 系统无法显示隐藏的文件和文件夹,在“文件夹选项”设置显示隐藏的文件和文件夹后,再次打开“文件夹选项”,会发现又恢复到以前的设置,即“不显示隐藏的文件和文件夹”;
3、 杀毒软件无法正常启动和运行,部分系统程序和安全工具无法运行,如:msconfig.exe、regedit.exe、冰刃(icesword)、360安全卫士等;
4、 系统进程中会有tfidma.exe、severe.exe两个进程,在系统安全模式和正常模式下都会随系统启动,且强制关闭后,这两个进程会马上启动;
5、 系统的hosts文件被修改,造成部分网站域名被劫持,当访问这些网站时,网站无法打开;
6、 在系统分区的根目录下有oso.exe和autorun.inf两个隐藏文件,当我们双击系统分区的盘符时,系统会执行autorun.inf文件中的命令,运行oso.exe文件。
一、清除病毒方法尽管我们可以将msconfig.exe等程序改名或者将程序的扩展名修改成scr、com后运行,但系统进程中的病毒程序tfidam.exe和severe.exe还是会将我们运行msconfig.exe等程序所修改的系统设置恢复到以前的状态,难道就没有办法对付这种病毒了吗?答案当然是否定的,病毒的制造者疏忽了一点,那就是我们可以利用组策略使tfidam.exe和severe.exe在开机时无法运行,然后将其删除。单击“开始”—“运行”,在“运行”对话框“打开”栏中输入“gpedit.msc”后,单击“确定”按钮。在出现的组策略窗口中,依次展开“用户配置”、“管理模板”、“系统”,此时在右侧的窗口中可以看到一个“不要运行指定的Windows应用程序”选项,双击该项,打开相应的窗口, 依次选择“已启用”、“显示”、“添加”,分别将tfidam.exe和severe.exe加入其中。然后重新启动计算机,进入系统后,我们会发现进程中已经没有了tfidam.exe和severe.exe两个进程,并且msconfig等程序也可以运行了。这个方法对大部分木马病毒都很有效,大家以后如果遇到比较顽固的病毒时,可以试试这个方法。因为在正常情况下,通过系统的浏览文件功能无法查看到tfidam.exe和severe.exe,所以我们运行冰刃(icesword),使用它的文件浏览功能,将c:\windows\system32目录下的tfidam.exe和severe.exe删除掉。
二、恢复系统设置
1、 将系统时间修改为正常时间;
2、 打开注册表修改HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL下的checkedvalue值为1,系统恢复显示所有文件和文件夹功能;
3、 使用“AUTO病毒专杀”这款软件,将系统分区的根目录下的oso.exe和autorun.inf清除掉;
4、 使用360安全卫士自动修复被修改的hosts文件。
三、防范措施为避免以后再次感染severe.exe或其他病毒,建议:
1、安装杀毒软件以及软件防火墙,经常升级杀毒软件,更新病毒代码库,定期对系统进行全面杀毒;
2、经常升级系统及应用软件补丁;
3、不要轻易打开来历不明的可疑的文件,不轻易打开邮箱中的附件,在打开前先使用杀毒软件扫描一下。不浏览不良网站,养成良好的上网习惯;
4、关闭不需要的系统服务;
5、关闭Guest帐号或者给其起一个足够复杂的密码,并为其他用户也起上复杂的密码;
6、禁止所有用户对c:\windows\system32下的cmd.exe,net.exe和net1.exe这三个文件访问,在我们需要访问这些文件的时候再加上访问用户
发表于 2009-4-9 10:40:08 | 显示全部楼层
。。。遇到过这样的情况,很麻烦,谢谢斑竹了
发表于 2009-4-9 18:45:32 | 显示全部楼层
谢谢楼主详细解析,但我就是记不住组策略流程
发表于 2009-4-9 18:50:18 | 显示全部楼层
如何禁止所有用户对c:\windows\system32下的cmd.exe,net.exe和net1.exe这三个文件访问呢?LZ帮忙解答下
 楼主| 发表于 2009-4-10 00:28:07 | 显示全部楼层
如何禁止所有用户对c:\windows\system32下的cmd.exe,net.exe和net1.exe这三个文件访问呢?LZ帮忙解答下
竹风海韵 发表于 2009-4-9 18:50


运行 gpedit.msc

依次展开 用户配置 管理模板 系统 看左边 看到 "不要运行只定的WINDOWS应用程序"

你点上 "已启动" 之后点 "显示" 之后添加 cmd.exe ,net.exe和net1.exe等等.你不想让用户应用的文件!
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

无图版|手机版|计算机技术论坛 JSJBBS.CN @ 2008-2024 ( 鲁ICP备17021708号 )

技术支持 : 北京康盛新创科技有限责任公司

快速回复 返回顶部 返回列表