怎样才能杀掉它,每次删除后还要出现,并且出现了**1,**2,**3等多个类似文件
參考答案:进程文件: bittorrent 或 bittorrent.exe
进程位置: windir
程序名称: Troj_Worm.Win32.RJump.a
程序用途: 间谍木马蠕虫病毒
程序作者:
系统进程: 否
后台程序: 是
使用网络: 是
硬件相关: 否
安全等级: 低
进程分析: 该病毒通过U盘、移动硬盘、MP3等传播,病毒变种有RavMon.exe、AdobeR.exe、bittorrent.exe等等。该病毒修改注册表创建Run/RavMon、AdobeR或Bittorrent等项实现自启动,并将病毒模块msvcr71.dll注入进程运行。该病毒窃取用户信息。
症状:
1. 在U盘中发现多出“autorun.inf、bittorrent.exe、RavMonLog、msvcr71.dll”这些文件,其中只有“RavMonLog”不是隐藏的,其它文件的属性都是系统+隐藏的。
2. 当双击打开U盘时速度很慢,而且打开后是弹出资源管理器的页面,右击弹出的菜单的默认项是“Auto”,U盘使用后删除不了。
3. 在电脑的进程中发现“bittorrent.exe”,C:\Windows目录下发现“bittorrent.exe”文件,系统自启动项有加载此文件。
4. 采用金山毒霸和瑞星的最新版本均显示无毒。
分析:
1. U盘中的“autorun.inf”文件是一个配置文件,我们在双击U盘打开时,系统就会运行这个配置文件,在此文件中我们可以设置双击时运行的程序,也可以更改U盘的图标等等。以下是文件的内容:
[AutoRun]
open=bittorrent.exe e
shellexecute=bittorrent.exe e
shell\Auto\command=bittorrent.exe e
shell=Auto
从这些内容我们可以看出,在你双击了U盘后,将会运行U盘中的“bittorrent.exe”文件。
2. 现在我们再来看看“msvcr71.dll”这个文件,它是VC7的运行库,也就是说“bittorrent.exe”文件是用.NET编写的,运行时要经过二次编译,因此在启动时会感到慢。
3. 由于双击后运行了“bittorrent.exe”这个程序,所以U盘无法安全删除。
结论:
1. 如果电脑被感染了,就会对所有连接到此电脑上的移动存储器拷入这些文件,使移动存储器成为另一个传播源。
2. 如果U盘、MP3等移动存储器被感染了,就可以通过双击盘符,进行传播
3. 但是如果你用右键单击盘符再选打开,就不会被感染。
解决方法:
首先打开任务管理器,在里一个面找找有没有“bittorrent.exe”这个进程,可能不止一个,找到后就把他们全都关闭;然后查看注册表,看看启动项是否有加载“bittorrent.exe”,如果有把它删除;接着打开C:\Windows\目录下有无“bittorrent.exe”文件,如果有删除它;到此我们已经完成电脑部分的清除工作了,接下来清除U盘。首先我们用右键单击在菜单中选“打开”,打开U盘;在文件夹选项中设置以显示所以文件,具体做法:文件夹选项 ->查看 -> 去掉“隐藏受保护的操作系统文件(推荐)”选项 -> 选择“显示所以文件和文件夹”;接着我们直接删除U盘中的“autorun.inf、bittorrent.exe、RavMonLog、msvcr71.dll”这四个文件;最后重启一下电脑就恢复了。
备注:
1. 到目前为止不知道此文件是否为病毒,因为不懂得它的危害性,只是知道它能非法重播,或许只是个恶作剧的程序,或许是木马。
2. 感染后文件名可能不同,但U盘中肯定会有“autorun.inf”文件。
3. 似乎和以前在U盘中发现的“meetingnote.exe”有异曲同工之处。
