病毒出现 - OSO.exe

刚刚中了病毒！哇靠！好像好久没有真正种过像这样顽强的病毒了。在这里最容易中病毒的途径就是通过U盘了，不小心开启就会启动autorun.ini接着就一个传一个，只要一疏忽就中了。之前适用的AVG杀毒软件能即时扫描并拦截，可是新安装的Norton 2007却好像缓慢了。有时能拦截，有时连提醒都没有。最后中了这个病毒后，Norton也根本扫描不出来有病毒，杀毒软件没办法自动杀毒。只好自己来了。

蠕虫名称：Worm.Pabug

病毒征兆：
开始是跳出runtime error 204 at 0040249c的小窗口。之前在其他人的电脑上遇到，所以知道接下来将会接二连三的不间断、无止境地出现。这时打开Windows Task Manager ( Ctrl + Shift + Esc )，就发现severe.exe、jrwnam.exe、conime.exe等等病毒了。可恶的是它已将regedit.exe等重要的文件都感染了，所以当你以为能开启注册表来防止下次电脑重启再执行的话，就大错特错了。

若你想直接删除的话，病毒已经将文件夹选项中”不显示隐藏文件”弄成失效了。所以你也很难察觉病毒的位置。

解决方法：

1. 关闭病毒程序。但是通过Windows Task Manager的话，你是根本不能快过它的同伴病毒开启的速度。所以我下载了Kill Process 1.0。它能先同时选择几个正在运行着的软件，然后一次一起关闭。
2. 然后到windows\system32及windows\system32\drivers下删除了jrwnam.exe等等可疑名称病毒程序。
3. 目前这款变种的病毒应该很多，所以也说不上哪些是相关的。可是我删除了：severe.exe、jrwnam.exe、conime.exe、oso.exe、net1.exe、hx1.bat、jwbnlb.exe
4. 然后再通过外在软件来修改注册表的开机软件设定。像我使用的是CCleaner。
5. 接着使用Autoruns软件来恢复注册表不能开启的问题。Autoruns中的Image Hijacks能删除病毒搞的鬼。将所有的被蒙蔽的软件名称都恢复过来。
6. 然后，开启注册表，将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL的CheckedValue设定为1，记得是Dword，不是String。
7. 到windows\system32\drivers\etc下开启HOST文档，那是xp的设定将区域名重新定义，可是病毒利用它来阻止杀毒软件的升级，因为最后被指向回127.0.0.1（本身的电脑ip）。
8. 若想一劳永逸的话，尽可能将xp修改成不会自动执行autorun.inf的设定。（网上能找到资料）

Technorati : worm virus