病毒名称:梅勒斯变种JA(Trojan.DL.Win32.Mnless.ja)
病毒类型:木马下载器
病毒危害级别:★★★
病毒发作现象及危害:
该病毒通过U盘、移动硬盘等移动存储设备传播,运行后会自动从黑客指定的网站下载其它的病毒、木马并运行,给用户的计算机安全带来威胁。中此病毒的典型现象是存在多个名为reg.exe的进程,各盘根目录下存在sos.exe文件。
手工删除:
一、修复被病毒修改的注册表项
1、点击“开始”菜单,选择“运行”,输入“regedit.exe”并确定,打开注册表编辑器。
2、打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System项,将右边窗格中的“DisableTaskMgr”项删除。
3、找到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN一项,双击窗口右面的CheckedValue,将其值改为2。
4、同样,在注册表中找到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL,将CheckedValue删除,并重新建立一个DWORD类型名为CheckedValue的值,将其改为1。
5、打开HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel,将右边窗格的homepage项删除。
二、清除内存中的病毒
1、启动任务管理器,查看是否存在名为“reg.exe”、“systvm.exe”和“IEXPLORE.EXE”的进程,若有则将这些进程结束。
2、如果“reg.exe”进程数量较多,可以点击“开始”-》“运行”,输入“taskkill /f /im reg.exe”。
3、再次在任务管理器查看是否存在名为“reg.exe”、“systvm.exe”和“IEXPLORE.EXE”的进程,若存在,则继续执行上面两步操作。
三、删除病毒在注册表中的启动项目
打开注册表编辑器,找到HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTV ERSION\RUN,在右边的窗格中找到CRSSS项,将其删除。
四、删除病毒文件
1、打开“我的电脑”,选择菜单“工具”-》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。同时取消掉“隐藏已知类型文件的扩展名”前的对勾,然后点击“确定”。
2、打开“我的电脑”,在各硬盘分区上点击鼠标右键,选择“资源管理器”,将各盘根目录下的“AUToRUN.Inf”和“Sos.Exe”文件删除。
3、进入C:\windows\system32目录下,删除掉名为“reg.exe”、“systvm.exe”及“AUToRUN.Inf”的文件。
4、重新启动计算机,查看上述文件是否存在,若不存在则说明病毒已经清除干净。