terebmi.exe U盘病毒详细介绍

中国IT动力,最新最全的IT技术教程

最新100篇 | 推荐100篇 | 专题100篇 | 排行榜 | 搜索 | 在线API文档 | 网通镜像

当前位置：> 网络应用 > 网络安全 > 查杀预防

terebmi.exe U盘病毒详细介绍

作者:佚名时间:2007-12-08 17:47 出处:51cto 责编:月夜寒箫

摘要：terebmi.exe U盘病毒详细介绍

病毒表现：

在各个盘符里生成autorun.inf、xywrebh.exe两个文件
只要用户双击在打开各盘符，那么就自动运行了xywrebh.exe文件
在C:\Program Files\Common Files\System下生成terebmi.exe文件;
在C:\Program Files\Common Files\Microsoft Shared下生成nuygtvw.exe文件
无法打开所有带”病毒”字样的文档
无法打开IE(开一会就自动关闭)

解决方法：

必须在断网的前提下进行。

过程如下：

首先，我发现的是该病毒没把精锐网吧辅助工具5.7禁用，所以我在其里面的进程管理项目栏里找到了上面那两个病毒的进程名与路径，直接右键选择“终止进程并禁止运行”，之后在限制恢复栏目里点击浏览找到病毒路径，直接选删除文件。并在启动管理项目栏里将病毒启动项清除。
使用”eFix--Hidden(恢复系统隐藏文件).reg”示隐藏属性
此时，路径病毒已经被清除，但还有残留。用资源管理器找到以下两个路径：
C:\Program Files\common files\system和C:\Program Files\Common Files\Microsoft Shared
将可疑文件删掉。（主要是terebmi.exe和nuygtvw.exe两个）
需要特别注意的是在HOSTS里，将其内容改为
# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost

即可

附：FileFix--Hidden(恢复系统隐藏文件).reg内容（针对XP）

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]
"Text"="@shell32.dll,-30499"
"Type"="group"
"Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,\
48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,\
00
"HelpID"="shell.hlp#51131"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

将以上内容复制到记事本中，保存为*.reg格式文件，双击导入注册表即可。

关闭本页