一个U盘病毒,差点让我重装系统

2024-01-03 15:09
文章标签 病毒 重装系统 差点

本文主要是介绍一个U盘病毒,差点让我重装系统,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

前两天把U盘借给别人打印,拿回来后忘了用右键打开了,一个双击之后立即后悔了:U盘在打印室的机器上染上了病毒。现象有:

1、任务管理器被禁用

2、文件夹选项被禁用

3、隐藏文件、系统文件、文件扩展名全部被隐藏

4、注册表启动项中添加system32/wininit.exe

昨晚折腾了半天,又是删除启动项,又是用兔子终止winsystem.exe进程,但是病毒文件都被隐藏了看不到,于是想到一个办法:我装过vmware,上面有Linux,而且已经用vmware的工具把windows下的每个盘符都挂载到Linux里了(在mnt/hgfs下),于是运行虚拟机的linux,在Linux下把病毒文件改名了(其实后来想起不用这么费事,在cmd下用dir、attrib等命令即可实现)。但是重启后问题依旧,发现病毒重新生成了文件,看来还是不够彻底。其实我知道,U盘病毒肯定会在每个盘符下建个AUTORUN之类的文件。

在这个过程中,下载了一个usbcleaner,还挺好用的,直接恢复了任务管理器,是HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System下有个DisableTaskMgr键,把它的值设为0即可。也可以运行组策略管理器(gpedit.msc),设置“用户配置/管理模板/系统/Ctrl+Alt+Del 选项”,把删除“任务管理器” 属性中的“设置”选项卡中点选“已禁用”或“未配置”单选项。

后来在网上查到了第5条:

5、注册表项的windows NT/currentversion/winlogon中的userinit中添加了system32/winsystem.exe

于是以为userinit键不必要,就把它改名了,结果今天早上来后就登录不了系统了,输入密码登录后就自动注销出来,郁闷。曾一度以为得重装了。后来在别的机器上修好了。以下操作均在另外那台机器上执行:

1、运行计算机管理,操作-》连接到另一台计算机,然后输入我的机器的IP地址,连接成功

2、在“服务”里把remote registry 服务启动 (我平时是把它禁用了的)

3、运行regedit,打开注册表。文件-》连接网络注册表,输入我的机器的IP,连接成功

4、把windows NT/currentversion/winlogon中的userinit还原成正常值,即只带C:/WINDOWS/system32/userinit.exe。

然后回到我的机器上,登录成功。

这时我的文件夹选项还没恢复,在网上找了一下,也是用组策略改回来,如下:

用户配置→管理模板→Windows组件→Windows资源管理器”,把“从‘工具’菜单删除‘文件夹选项’菜单”设为“已禁用”。

再看一下,文件夹选项已经回来了,把扩展名、系统文件、隐藏文件全都显示出来,可以看到每个盘符下都有一个autorun.inf和kernaldrive.exe,就是病毒了。那个autorun.inf是1K大小,但是用记事本打开时,会看到是空白一片,差点被迷惑,好在看到右边有滚动条,原来故意空出一片来迷惑人的,内容在后面呢,为:

 [autorun]                                                                                          
                                                                                           open=kerneldrive.exe
                                                                                           shellexecute=kerneldrive.exe
                                                                                           shell/Auto/command=kerneldrive.exe
                                                                                           shell=Auto

一一删除,搞定。

这篇关于一个U盘病毒,差点让我重装系统的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/566106

相关文章

Win8下如何快速查找和删除电脑中的病毒

Win8系统如何查找和删除病毒?检查你的电脑是否存在病毒的一种快速方法是使用 Windows Defender. 此恶意软件防护随 Windows 提供,可帮助识别和删除病毒、间谍软件和其他恶意软件。   注意:如果你使用的是 Windows RT,则 Windows Defender 会始终启用,并且不能关闭。   如果你使用的是 Windows 8,则可以根据自己的喜好运行由其他

解决解压缩时的错误提示 “无法成功完成操作, 因为文件包含病毒或者潜在垃圾文件“

近期, 有一些朋友反馈在解压zip压缩包, 或者在安装软件的过程中出现了下面的错误提示: "无法成功完成操作, 因为文件包含病毒或者潜在垃圾文件" "Operation did not complete successfully because the file contains a virus or potentially unwanted software" 上述错误一般

重置电脑系统和重装系统哪个好_重置电脑系统和重装有什么区别

如果电脑系统出现蓝屏或者卡顿的故障,相信不少用户会选择重装系统来解决。不过,经常折腾电脑的人群,可能知道在Windows10系统中会有“重置此电脑”的功能,类似于恢复出厂设置的意思。重置电脑系统和重装系统哪个好?重置电脑系统和重装有什么区别。下面小编来分析一下。 重置电脑系统和重装有什么区别: 重装系统:重装系统,简单来说就是用一个全新的系统来替换现有系统。由于是替换系统的方

筑牢数字防线:深信达MCK与SPN软件的勒索病毒防护策略

# 防勒索病毒:深信达的MCK主机加固软件与SPN安全上网软件的防护策略 在数字化时代,勒索病毒已成为企业和个人用户面临的严峻挑战。这些恶意软件通过加密用户数据并要求支付赎金来解锁,给受害者带来了巨大的经济损失和数据安全风险。深信达科技有限公司,作为网络安全领域的先行者,推出了MCK主机加固软件和SPN安全上网软件,这两款产品在防止勒索病毒攻击方面发挥着重要作用。本文将探讨这两款软件如何协同工作

【HDU】3065 病毒侵袭持续中 AC自动机

病毒侵袭持续中 Time Limit: 2000/1000 MS (Java/Others)    Memory Limit: 32768/32768 K (Java/Others) Total Submission(s): 5766    Accepted Submission(s): 2028 Problem Description 小t非常感谢大家帮忙解决了他的上一个

【HDU】2896 病毒侵袭 AC自动机

病毒侵袭 Time Limit: 2000/1000 MS (Java/Others)    Memory Limit: 32768/32768 K (Java/Others) Total Submission(s): 10087    Accepted Submission(s): 2612 Problem Description 当太阳的光辉逐渐被月亮遮蔽,世界失去了光

zeus病毒应急响应

目录 介绍步骤 介绍 Zeus病毒,也叫Zbot病毒,是一种具有高潜伏性的木马病毒,受影响系统为微软Windows,主要被用来盗窃用户银行信息。 Zeus最早于2007年被发现,当时它被用来盗取美国某公司的资料信息。到2009年,Zeus病毒进入全面爆发阶段。据统计,单单在美国,就有超过三百六十万的主机在2009年感染Zeus。保守估计,至少造成了七千万美元的损失。 Zeu

如何解决企业防盗版/防勒索病毒?一个方案五步搞定!

SPN(Sandbox Proxy Network)解决方案通过创建一个隔离的沙盒环境,为企业提供了一个安全、受控的互联网访问方式。该方案特别适用于防止盗版软件的骚扰和勒索病毒的攻击,确保企业数据和网络环境的安全。 1. 核心功能 物理隔离:通过沙盒技术,将企业终端与互联网物理隔离,确保只有经过审核的应用程序才能访问外网。 白名单控制:仅允许预设白名单内的程序(如浏览器、IM工具)在沙

差点就发现了完全背包。。

突然发现我上上次的博文,,,讲的就是完全背包啊。。。DP[5]的时候物体x被使用了2次。。。。如果我当时能再多想想,完全可以推广到完全背包。。。

win10重装系统后,回复之前的mysql服务以及数据

第一步:管理员启动cmd 切到mysql bin目录 执行 .\mysqld install mysql8 命令               mysql8 可以不写。默认mysql ,如果一台机器多个mysql服务的话要指定服务名               控制台打印:Service successfully installed. 说明服务注册成功!              如果你的my