这个U盘病毒很烦人,用冰刀清除老是不能断根,今天找了篇文章,原来它把注册表里很多安全相关的应用程序的debugger关联到它的另一个文件中了,所以老是有问题.删除了注册表就好了.
清除severe.exe病毒
--------------------------------------------------------------------------------
2007-02-26 23:41:53一、severe.exe病毒现象:
starger 51cto技术博客
(1)无法显示所有文件和文件夹.
(2)无法打开regedit.exe等众多安全相关程序,提示“windows找不到文件'c:\windows\regedit.exe'.....”
starger 51cto技术博客
二、如何清除severe.exe病毒?
starger 51cto技术博客
(说明:DOS下运行的也可在安全模式《电脑启动时按F8进入安全模式》下直
接进入文件夹删除)
starger 51cto技术博客
(1)dos下将\system32和\system32\driver两个文件夹中的相关文件severe.exe去掉隐starger 51cto技术博客
藏,attrib -s -h
(2)dos下将各盘符根目录下的OSO.exe,autorun.inf文件去掉隐藏
(3)dos下删除\system32文件夹下的severe.exe,各盘符根目录下的OSO.exe,autorun.infstarger 51cto技术博客
文件
(4)修改regedit.exe为regedit.scr(打开我的电脑,进入windows文件夹,将工具-文件夹starger 51cto技术博客
选项的扩展名项勾去掉,有一个regedit.exe将exe改为SCR即可。)
(5)运行regedit.scr
(6)删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\severe.exe] Debugger.......tcmebr.exe
举例:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\starger 51cto技术博客
Image File Execution Options\regedit.exe]
"Debugger"="C:\\WINDOWS\\system32\\drivers\\tcmebr.exe"
(7)在注册表中查找以上几个程序的注册表项,删除
(8)修改注册表下HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\starger 51cto技术博客
Advanced\Folder\Hidden\SHOWALL下的checkedvalue值为1(注意是双字节值dword),恢starger 51cto技术博客
复显示所有文件和文件夹功能.starger 51cto技术博客
starger 51cto技术博客
另,未杀毒之前可配合360safe,kaka之类软件进行查找修复,将kaka.exe,360.exe主程starger 51cto技术博客
序改为kaka.com,360.com即可(改成别的名称没有试)。
考虑到该病毒今后可能出现变种,修改regedit.exe为regedit.scr可能失效,故建议配备starger 51cto技术博客
dos下能修改注册表的工具。以深山红叶的win xp(pe)光盘为例,运行其中的ERD 2003starger 51cto技术博客
可在内存环境中直接修改注册表。starger 51cto技术博客
starger 51cto技术博客
我认为清除此病毒关键之处在于恢复regedit.exe的使用
starger 51cto技术博客
可用以下方法:
starger 51cto技术博客
(1)将regedit.exe改名,任意,直接运行
starger 51cto技术博客
软件:
starger 51cto技术博客
360安全卫士下载
starger 51cto技术博客
下载地址:http://www.cisko.cn/Soft/ShowSoft.asp?SoftID=8