病毒名称:代理木马变种GZ(Trojan.Agent.gz)
病毒类型:木马病毒
病毒危害级别:★★★
病毒发作现象及危害:
病毒采用VisualBasic语言编写。该病毒会通过U盘、移动硬盘等进行传播,会试图记录用户的键盘输入信息,从而盗取用户的网络游戏、QQ、银行卡账号等隐私信息,并发送给黑客。由于其传播机制,目前在学校机房、网吧等小型局域网络中传播较广。
手工删除:
一、清除内存中的病毒
在任务管理器中找到所有名为“rose.exe”的进程,单击鼠标右键,选择“结束进程”。
二、删除病毒文件
1、打开“我的电脑”,选择菜单“工具”-》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。
2、在“我的电脑”中用鼠标右键点击“C:”盘,选择“打开”,注意此处一定不要双击盘符打开磁盘!
3、删除掉C盘根目录下的“autorun.inf”和“rose.exe”文件。如果根目录下存在“system32”文件夹也将其一并删除。如果提示文件不能被删除,请重新打开任务管理器查看是否已经结束掉了所有“rose.exe”进程。
4、如果计算机上还存在其它分区,如:D:、E:等,也要用上面的方法打开磁盘分区,并删除这些分区根目录下的“autorun.inf”、“rose.exe”以及“systemfile.com”文件。
5、进入Windows目录下的system32目录(默认为C:/windows/system32),删除掉下面的“run.reg”和“systemdate.ini”文件。
三、修复注册表
1、点击“开始”菜单,选择“运行”,输入“regedit.exe”并确定,打开注册表编辑器。
2、打开HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run一项,在右边的窗格中找到“dll”一项,将其删除。
四、删除优盘、移动硬盘上的病毒文件
这个病毒通过优盘等进行传播,因此在计算机杀毒后也要对这些移动存储设备进行彻查,防止重复感染。
按住键盘上的“Shift”键,插入优盘。然后用和清除硬盘上病毒同样的操作,清除掉移动存储设备上的病毒。
五、后期检查
重新启动计算机,然后打开任务管理器,查看是否有“rose.exe”进程存在,如果没有,则说明病毒已经清除干净。
瑞星提示:
该病毒手工清除有一定难度和风险,建议用户使用杀毒软件进行清除。针对此病毒,瑞星已经升级。瑞星杀毒软件2006版18.23.11及其更高版本可以彻底查杀此病毒。用户还可以随时拨打瑞星反病毒急救电话:010-82678800来寻求帮助。
目前政法及民院流行一个名叫ROSE的病毒,该病毒由2个文件载体构成,即 ROSE.EXE 及 AUTOEXEC.BAT,该利用系统驱动器双击自读的漏洞肆虐南湖一带网民电脑,尤其是移动存储用户的电脑更是为之疾首!其实该病毒并不是那么难对付.
我也在网上看到网友发的帖子利用CMD的DOS命令来删除该病毒文件的方法,其方法没有说明详细,只能应付一时而不能根除,本人见网上有人利用该病毒来肆卖瑞星翻版序列号,为了不让虫子们上当受骗故发此贴,
其实目前的瑞星正版软件仍未将rose病毒采入目前病毒库,(本人现在用的就是瑞星),所以现在的瑞星也为之无奈.目前解决这个病毒也只能靠我们自己,本人的方法简单,如下:
只要知道你中的是ROSE.EXE病毒,则此电脑的任何磁盘驱动器(包括U盘等移动存储器)切莫直接双击打开,否则以下操作前功尽弃,
1.打开我的电脑,点"工具"-->"文件夹选项"-->"查看",在"高级选项"里,把"隐藏受保护的操作系统文件(推荐)"一项前面的勾号去掉,并将"隐藏文件和文件夹"下属栏中选中"显示所有文件和文件夹". --------此操作为了打开隐藏文件显示,方便以下操作.
2.点击"开始"--->"运行",输入"regedit",进入注册表编辑,点"编辑"--->"查找",在"查找目标栏" 输入 "ROSE.EXE" 按回车搜索相关键值,查到后,直接删除该键值,然后继续按F3,继续查找剩下相关键值,只要查出即删,一般中毒的系统会产生2个键值,你删除后只管按F3,知道完成注册表搜索,确保你的注册表里没有相关键值为止.--------此操作为了截断ROSE.EXE文件的复制源.
3.进入你电脑的所有驱动器盘(千万注意:千万不要双击打开盘符,采用右键点取"打开"进入!),在每个磁盘的根目录你会看到2个文件:"rose.exe"及"autorun.inf",将你电脑所有盘中的"rose.exe"文件全部删除,切勿遗漏.(每个盘中该病毒仅存在与根目录下,且每个盘切莫双击直接点开!)-------此操作彻底断掉该病毒的可执行文件.
4.在完成第三步操作后,你会发现 "rose.exe"文件已经不复存在,但是"autorun.inf"仍在,且无法删除,刷新后仍然出现,不要紧,重新启动电脑,进入系统,依旧按右键"打开"进入电脑各盘,再删除所有的"autorun.inf" 文件,你会发现此次删除成功,--------此步操作扔需注意切莫双击进入电脑各盘,否则前功尽弃!
5.重起电脑(务必)重复第2步搜索删除,大功告成!
以上方法为解决该病毒的最佳方案,本人是北苑泰格电脑的技术员,在前一阵杀毒软件为之无奈之时本人已用此方法为学校众学生及其他商家电脑用户数百台电脑解决燃眉之急,屡试不爽!不妨一试,另外,因为江民的KV2006杀毒软件采取客户发现病毒及时上报的简易手段,率先将此病毒写入最新病毒库,只要是4月14日以后的病毒库均能杀掉该毒!而瑞星亦有病毒上报手段,但是需填客户资料及联系方式地址等极为烦琐,故而对此病毒反应教为迟钝.至今仍然不能杀之.
另外说明:被此病毒破坏已进不了系统的用户依然可以照以上方法解决此病毒,只是先格掉C盘系统,然后重新装系统,完后按以上方法解决依然可行,当然买了KV而且升级的用户自然省事的多
这个是我用费尔以来领教过的第一个病毒(当然可能还有我和费尔都没发现的),一般是通过u盘传播,机理是利用u盘等的自动播放功能,把自动播放的内容设置成rose.exe,双击打开u盘时会运行rose.exe,这样就中毒了,只要不双击,而用右键打开就没有事。
具体处理方法就如lz所说,不过病毒文件是隐藏的,要显示隐藏才能看到,一般在每个盘的根目录都有。因此对不放心的u盘可以先右键打开,再显隐藏,没有病毒文件就可以放心使用了,有的话直接删除,因为是右键打开,因此不会中毒。
网上有专杀下载,本来想上传上来的,但是不知道现在上传的问题解决了没有。这是白云黄鹤论坛里面提供的专杀(我试了下,用游客身份也能下载,应该不会出问题):
rose病毒专杀+关闭自动播放的工具