手工清除severe.exe病毒

chenhuili

很实用 希望大家都能学会自己手工杀毒

闪乐

我在做计算机维护时发现有几台计算机中了一种不知名的病毒，感染这种病毒的症状如下：
1、 计算机系统时间被修改为2004年；
2、 系统无法显示隐藏的文件和文件夹，在“文件夹选项”设置显示隐藏的文件和文件夹后，再次打开“文件夹选项”，会发现又恢复到以前的设置，即“不显示隐藏的文件和文件夹”；
3、 杀毒软件无法正常启动和运行，部分系统程序和安全工具无法运行，如：msconfig.exe、regedit.exe、冰刃（icesword）、360安全卫士等；
4、 系统进程中会有tfidma.exe、severe.exe两个进程，在系统安全模式和正常模式下都会随系统启动，且强制关闭后，这两个进程会马上启动；
5、 系统的hosts文件被修改，造成部分网站域名被劫持，当访问这些网站时，网站无法打开；
6、 在系统分区的根目录下有oso.exe和autorun.inf两个隐藏文件，当我们双击系统分区的盘符时，系统会执行autorun.inf文件中的命令，运行oso.exe文件。
一、清除病毒方法
尽管我们可以将msconfig.exe等程序改名或者将程序的扩展名修改成scr、com后运行，但系统进程中的病毒程序tfidam.exe和severe.exe还是会将我们运行msconfig.exe等程序所修改的系统设置恢复到以前的状态，难道就没有办法对付这种病毒了吗？答案当然是否定的，病毒的制造者疏忽了一点，那就是我们可以利用组策略使tfidam.exe和severe.exe在开机时无法运行，然后将其删除。单击“开始”—“运行”，在“运行”对话框“打开”栏中输入“gpedit.msc”后，单击“确定”按钮。在出现的组策略窗口中，依次展开“用户配置”、“管理模板”、“系统”，此时在右侧的窗口中可以看到一个“不要运行指定的Windows应用程序”选项，双击该项，打开相应的窗口，如图1所示。

                图1
依次选择“已启用”、“显示”、“添加”，分别将tfidam.exe和severe.exe加入其中。然后重新启动计算机，进入系统后，我们会发现进程中已经没有了tfidam.exe和severe.exe两个进程，并且msconfig等程序也可以运行了。这个方法对大部分木马病毒都很有效，大家以后如果遇到比较顽固的病毒时，可以试试这个方法。因为在正常情况下，通过系统的浏览文件功能无法查看到tfidam.exe和severe.exe，所以我们运行冰刃（icesword），使用它的文件浏览功能，将c:\\windows\\system32目录下的tfidam.exe和severe.exe删除掉。
二、恢复系统设置
1、 将系统时间修改为正常时间；
2、 打开注册表修改HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL下的checkedvalue值为1，系统恢复显示所有文件和文件夹功能；
3、 使用“AUTO病毒专杀”这款软件，将系统分区的根目录下的oso.exe和autorun.inf清除掉；
4、 使用360安全卫士自动修复被修改的hosts文件。
三、防范措施
为避免以后再次感染severe.exe或其他病毒，建议：
1、安装杀毒软件以及软件防火墙，经常升级杀毒软件，更新病毒代码库，定期对系统进行全面杀毒；
2、经常升级系统及应用软件补丁；
3、不要轻易打开来历不明的可疑的文件，不轻易打开邮箱中的附件，在打开前先使用杀毒软件扫描一下。不浏览不良网站，养成良好的上网习惯；
4、关闭不需要的系统服务；
5、关闭Guest帐号或者给其起一个足够复杂的密码，并为其他用户也起上复杂的密码；
6、禁止所有用户对c:\\windows\\system32下的cmd.exe，net.exe和net1.exe这三个文件访问，在我们需要访问这些文件的时候再加上访问用户。