你好,
这是网上提供的一个方案,不知道是否可行,可以参考
1.不要插U盘
2.在任务管理器中将 DOC.exe 结束
3.在C盘查找文件doc.exe, doc1.exe ,如果系统是XP还需要在高级选项中选中查找隐藏文件,找到后删除
4.打开资源管理器,找到文件夹
c:\Documents and settings\All Users\[开始]菜单\程序\启动
将其中的 Windows word 这个文件删掉(现在看不到看不到它的扩展名其实是exe)
5.运行regedit,将开机运行项目中的doc.exe清除
在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
后遗症的治疗:
经该病毒感染后,系统无法显示隐藏文件和文件扩展名,即使去文件夹选项中去改设置也没用,这时需要手工去注册表改
6.显示所有文件和文件夹
在 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
\Advanced\Folder\Hidden\SHOWALL]
将CheckedValue的值改为1
7.取消"隐藏已知文件的扩展名"
在 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
\Advanced\Folder\HiddenFileExt]
将 CheckedValue的值改为0
改完后,去文件夹选项看,在"选显示所有文件和文件夹"已恢复正常了
8.插上U盘,将其中的*.exe文件全部删除
病毒资料:
Win32.Troj.DocThief.c是一个能窃取移动存储介质中doc文件的病毒。
该病毒能释放病毒文件到指定目录,然后把自身添加到自启动项,达到自启动的目的。然后自动检测用户是否插入移动硬盘和闪盘,如果存在,则把移动硬盘和闪盘上的所有doc文件拷贝到c:\windows\wj文件夹下面。随后病毒会把自身拷贝到移动硬盘和闪盘上面,并命名为Win32.exe,或者是Win33.exe,达到传播的目的;然后病毒会复制硬盘上所有的文件到c:\windows\wj文件夹下面,并把后缀名该为.com.该病毒还能把自身添加到开始菜单中,伪装成ms word程序,能欺骗用户。
1,释放文件到以下目录:
c:\windows\doc.exe
c:\windows\doc1.exe
c:\abc.reg
2,生成的reg文件能修改下列注册表项,可以隐藏病毒文件和添加自身到自启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN]
"doc" = "c:\\windows\\doc.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHO
WALL]
"CheckedValue" = dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileEx
t]
"CheckedValue" = dword:00000001
3,拷贝移动存储介质和硬盘上的doc到c:\windows\wj文件夹下面
4,病毒会把自身拷贝到移动硬盘和闪盘上面,并命名为Win32.exe,或者是Win33.exe
5,把自身添加到开始菜单中,伪装成"Microsoft Word.exe",欺骗用户点击
