vcplay.exe病毒的查杀

最近帮几台机器杀毒，发现这个病毒十分顽固，下面是查杀的详细方法。

一、随机加载的病毒

由于病毒写入了注册表中shell键值，从而位置导致病毒随机加载。
病毒位置如下
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

注册服务『ServicevcHelp』对应文件为：X:\WINDOWS\system32\vcplay.exe 进程中存在vcplay.exe并伴随其他病毒和木马。

处理方法是进入安全模式下将X:\windows\system32\vchelp.exe X:\windows\system32\vcplay.exe

使用文件粉碎器删除，并修改注册表中shell键值为默认值即可。注册表默认值：[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon,双击右边的Shell,把数值数据改成Explorer.exe

二、一些病毒现象

例如一个很流行的病毒ravmon.exe它会冒充知名反病毒厂商的监控文件，一般用户很容易认为他是正常的。
病毒加载常规启动项：
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /SVCHOST
%systemroot%\MDM.EXE
释放X:\autorun.inf 、X:\ravmon.exe、%systemroot%\SVCHOST.exe 并会屏蔽隐藏文件

三、病毒处理技巧

   已经得到一定程度控制的病毒为何还在我们的视线中，原因很简单，很多用户不知道如何正确使用杀毒软件以及不具备系统最基本的防病毒知识，对于已经流行过的病毒在他们身上仍然能够逞强。对此建议在安全模式下使用专杀工具进行相关病毒的处理，因为专杀工具对于这些流行病毒会做技术上的特殊调整，以便达到理想的清除效果。
   查杀病毒要耐心，不要动不动就重装系统，在查杀的过程中，也是一个提高计算机技术的过程。

四、用防火墙监视进入网络可疑程序

   pc用户可以开启防火墙，监视可疑程序，陌生的程序连接网络一定要警惕，不要随便就点允许，telnet服务可以远程访问主机资源，一定要关闭，3389远程桌面一般PC用户不会用到也应关闭。

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点