“眨眼睛”病毒的 解决方法
“眨眼睛”病毒,症状是屏幕每隔一段时间黑屏闪烁一次,但是只对纯平的显
示器有这种症状,而对液晶的显示器并不起作用。同时各磁盘根目录下产生
“llm.exe”(没有图标)和“autorun.inf”两个文件,双击无法打开硬盘,右键单
击也无法打开。在资源管理器中删除文件后又立刻重新产生,并且屏蔽了隐
藏文件察看功能。目前大多数杀毒软件还不能识别该病毒。
此病毒可由U盘传播,中毒症状类似之前的“Autorun”病毒,双击感染。但是
瑞星监控可以发现该病毒对注册表的修改,只要选择“拒绝修改”即可,但依
旧会产生以上病毒文件,注册表有关隐藏文件的键值还是会被修改。
解决办法:
保持杀毒软件开启状态。
首先修改注册表:
“开始”->“运行”->“regedit”打开注册表编辑器。
(1)[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
将其中的“CheckedValue”键删除,因为病毒已将其类型改为“SZ”,及时将值
改为“1”也无法察看。删除后新建类型为“DWORD”的键,名称改为
“CheckedValue”,键值为“1”。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]
将其中的“Userinit”键内容改为“userinit.exe,”(含逗号),这时我们可以发现
修改之前该键的内容中有一个“microsoft\*(乱码).exe”,这个文件其实就是
病毒文件之一。
(2)
将其中的“Shell”键内容改为“EXPLORER.EXE”,这时我们可以发现修改之前该
键的内容中有一个“C:\WINDOWS\system32\dllcache\dcache.exe”,这个文
件是病毒文件之二。
(3)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
将其中的“System”键删除。该键的内容为“C:\WINDOWS\system32\advanced.exe”,
这是第三个病毒文件。
(4)
注册表修改完毕后进入C盘Windows文件夹System32文件夹,显示隐藏文件和
系统文件以及扩展名,找到隐藏的“advanced.exe”文件(44.2kb,没有图标),
该文件此时无法删除,但可以将其文件名修改,改成什么都可以,只要下次你
能找到并且文件名不是原来的那个就可以。然后新建一个文本文档(其实新建
什么都行),将其名称改为“advanced.exe”(一定要显示扩展名,不然就变成
“advanced.exe.txt”了),属性改为“只读”(0kb,程序图标)。
然后找到“dllcache”文件夹,删除隐藏的“dcache.exe”文件(44.2kb,没有图标);
回到上级目录,找到“microsoft”文件夹,删除隐藏的“*(乱码).exe”文件
(44.2kb,没有图标)。
这时再回到各根目录下将隐藏的“llm.exe”(44.2kb,没有图标)和“autorun.inf”
文件都删掉。这时,即使再次产生,生成的“llm.exe”文件也是与我们之前建立
的“advanced.exe”(0kb,程序图标)相同,即没有任何危害性了。
(5)
对C:\Documents and Settings\Administrator\Local Settings\Temp文件夹
(Administrator是你登陆的用户名),将里面的全部删除;
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet File*
里面的文件也全部删除;
如果注册表和Windows文件夹中都没有什么变化就可以将我们自己建立的那个
假的“advanced.exe”和改了后缀名的“advanced.exe”删除了。
病毒文件:
C:\WINDOWS\system32\advanced.exe
C:\WINDOWS\system32\dllcache\dcache.exe
C:\WINDOWS\system32\microsoft\*(乱码).exe
各根目录下产生“llm.exe”和“autorun.inf”。
其中所有的“llm.exe”文件均没有图标,大小为44.2kb。
2001-2007 Comsenz Inc.
