ROSE病毒

電腦通訊 9547 327 2014-11-23

rose病毒(rose.exe)是一種良性病毒,由2個文件載體構成,即 ROSE.EXE 及 AUTOEXEC.BAT,利用了雙擊存儲設備自讀autorun.inf 信息文本的漏洞,在系統中佔用大量cpu資源,會引起部分操作系統崩潰,表現在開機自檢後直接並反覆重啟,無法進入系統。

病毒特徵:用鼠標點擊磁盤盤符沒有反應,只能通過右鍵菜單打開選項打開,且在右鍵菜單裡新增了自動播放,發作時會導致系統無法啟動。大部分通過U盤、移動硬盤等存儲設備傳播。

病毒名稱:代理木馬變種GZ (Trojan.Agent.gz)

病毒類型:木馬病毒

病毒危害級別:★★★

病毒發作現象及危害:病毒採用Visual Basic語言編寫。該病毒會通過U盤、移動硬盤等進行傳播,會試圖記錄用戶的鍵盤輸入信息,從而盜取用戶的網絡遊戲、QQ、銀行卡賬號等隱私信息,並發送給黑客。由於其傳播機制,目前在學校機房、網吧等小型局域網絡中傳播較廣。

附:教你手動殺毒

一、清除內存中的病毒

在任務管理器中找到所有名為「rose.exe」的進程,單擊鼠標右鍵,選擇「結束進程」。

二、刪除病毒文件

1、打開「我的電腦」,選擇菜單「工具」-》「文件夾選項」,點擊「查看」,取消「隱藏受保護的操作系統文件」前的對勾,並在「隱藏文件和文件夾」項中選擇「顯示所有文件和文件夾」,然後點擊「確定」。

2、在「我的電腦」中用鼠標右鍵點擊「C:」盤,選擇「打開」,注意此處一定不要雙擊盤符打開磁盤!

3、刪除掉C盤根目錄下的「autorun.inf」和「rose.exe」文件。如果根目錄下存在「system32」文件夾也將其一併刪除。如果提示文件不能被刪除,請重新打開任務管理器查看是否已經結束掉了所有「rose.exe」進程。

4、如果計算機上還存在其它分區,如:D:、E:等,也要用上面的方法打開磁盤分區,並刪除這些分區根目錄下的「autorun.inf」、「rose.exe」以及「systemfile.com」文件。

5、進入Windows目錄下的system32目錄(默認為C:windowssystem32),刪除掉下面的「run.reg」和「systemdate.ini」文件。

三、修復註冊表

1、點擊「開始」菜單,選擇「運行」,輸入「regedit.exe」並確定,打開註冊表編輯器。

2、打開HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun一項,在右邊的窗格中找到「dll」一項,將其刪除。

四、刪除優盤、移動硬盤上的病毒文件

這個病毒通過優盤等進行傳播,因此在計算機殺毒後也要對這些移動存儲設備進行徹查,防止重複感染。

按住鍵盤上的「Shift」鍵,插入優盤。然後用和清除硬盤上病毒同樣的操作,清除掉移動存儲設備上的病毒。

五、後期檢查

重新啟動計算機,然後打開任務管理器,查看是否有「rose.exe」進程存在,如果沒有,則說明病毒已經清除乾淨。

1.判斷是否中毒,依症狀發展順序有:

無法正常拔除U盤等移動設備,磁盤的右鍵菜單中第一項為「自動播放」,磁盤根目錄下有系統隱藏文件"rose.exe"和"autorun.inf",無法關機,無法打開本地磁盤,資源消耗較大,任務管理器中出現多個"rose.exe"進程,無法啟動系統(反覆重啟),重裝系統後依然如故(有待證明),無法從光盤引導啟動,無法讀取BIOS,按電源開關沒有反應(尤其筆記本)。

2.rose.exe的情況:

rose.exe病毒大多是通過移動設備傳播的。只要雙擊磁盤就會激活"rose.exe","rose.exe"和"autorun.inf"就會自動複製到所有磁盤根目錄,並會把自動運行信息寫入註冊表和系統盤下的WINDOWS文件夾下。rose.exe病毒具有潛伏期,一般在中毒24小時後才會看到明顯症狀,並且隨著中毒時間變長,所發生的症狀逐漸加深,WINDOWS目錄下的病毒文件和註冊表項也會變多。這說明rose.exe對電腦的破壞是逐漸加深的,或者其發生了變異。一個非常奇怪的事情就是,似乎迄今為止幾款主流的殺毒軟件還不能查殺rose.exe病毒,我兩次把病毒樣本提交給瑞星,但瑞星的工程師堅持認為這不是病毒。

3.預防方法:

其實方法很簡單,在插入移動設備時不要雙擊打開,點右鍵看第一個菜單是不是「自動播放」,如果是就用資源管理器打開,如果不是應該就沒有問題。

4.查殺rose.exe:

如果還能進入操作系統,記住在查殺的過程中不要雙擊任何磁盤。默認系統盤為C盤。控制面版->文件夾選項->查看,去掉「隱藏受保護的操作系統文件」的選項,選擇「顯示所有文件和文件夾」。通過資源管理器查看各個磁盤的根目錄,如果發現有"rose.exe"和"autorun.inf",那麼就可以確定染毒了。手工刪除,首先終止任務管理器中的rose.exe進程,開始->運行->msconfig,檢查刪除可疑項,沒有就算了,然後刪除註冊表中有關"rose.exe"的鍵值(搜索"rose",把整個shell子鍵刪除),在WINDOWS文件夾中搜索"rose.exe",在C:WINDOWSPrefetch下至少可以找到兩個文件,刪除相關文件。然後刪除各個磁盤下的"rose.exe"和"autorun.inf"。以下是在DOS下刪除的方法:

C:>dir autorun.inf/a

C:>attrib autorun.inf-s-h-r

C:>del autorun.inf

再依次清除其他各盤以及"rose.exe",如果在windows下可刪,就不用在DOS下刪了。這樣基本上就清除rose.exe了。不能只清除各個磁盤下的"rose.exe"和"autorun.inf",否則會報告無法找到rose.exe,依然無法打開磁盤。

如果不能進入系統,就比較麻煩,這種情況一般中毒時間較長,還沒有十分成功的解決方法,歡迎大家跟帖。可以嘗試從安全模式或DOS進入,也可以通過深山紅葉等工具盤進入,按照上面的方法清除文件後,如果可以的話最好能把註冊表也清除一下。如果有備份或系統還原,最好就恢復一下。重啟一般會無法讀取BIOS信息,筆記本可能無法打開,我的一般做法就是恢復一下BIOS信息(取下主板上的電池反扣)。對於台式機似乎這樣可以,對於筆記本就有困難了。進入系統後還要清理一下註冊表。如果不行的話,可以嘗試恢復BIOS後重裝系統。



,