西北师范大学吧 关注:168,451贴子:4,190,570
该病毒的运行原理:
病毒有变种,以下情况不一定都有:
[-------------------------------------------------------------------------------------------
SysAnti.exe运行后,释放病毒文件SysAnti.exe和autorun.inf到硬盘各个分区根目录以及连接到中招电脑上的移动存贮介质的根目录。接下来,首先在%windows%\Fonts目录释放并加载运行一个随机字母名的病毒.dll。此dll运行后,即刻关闭IceSword、Autoruns、SReng等常用手工杀毒辅助工具并在注册表中添加IFEO劫持项,破坏多种杀软和防火墙加载运行。
[另:此毒有变种能释放多个病毒.dll 到%system%目录和%windows%\Fonts目录;释放病毒文件.fon、.ttf到%windows%\Fonts目录。释放病毒驱动.sys到系统驱动目录并改写一个正常的系统驱动程序.sys;替换系统程序
userinit.exe。(部分用户无此现象)]。
此毒感染系统文件以外的所有.exe文件。这个病毒的反删除招数就是把自己的程序注入进程svchost.exe中, 从而隐藏自己,从表面上看它调用explorer.exe 。在注册表中的Run 中的ctfmon.exe是在后台自动运行,病毒(install病毒在ctfmon.exe中值的名字)就在其中。
--------------------------------------------------------------------------------------------]
病毒有变种,以下情况不一定都有:
[-------------------------------------------------------------------------------------------
SysAnti.exe运行后,释放病毒文件SysAnti.exe和autorun.inf到硬盘各个分区根目录以及连接到中招电脑上的移动存贮介质的根目录。接下来,首先在%windows%\Fonts目录释放并加载运行一个随机字母名的病毒.dll。此dll运行后,即刻关闭IceSword、Autoruns、SReng等常用手工杀毒辅助工具并在注册表中添加IFEO劫持项,破坏多种杀软和防火墙加载运行。
[另:此毒有变种能释放多个病毒.dll 到%system%目录和%windows%\Fonts目录;释放病毒文件.fon、.ttf到%windows%\Fonts目录。释放病毒驱动.sys到系统驱动目录并改写一个正常的系统驱动程序.sys;替换系统程序
userinit.exe。(部分用户无此现象)]。
此毒感染系统文件以外的所有.exe文件。这个病毒的反删除招数就是把自己的程序注入进程svchost.exe中, 从而隐藏自己,从表面上看它调用explorer.exe 。在注册表中的Run 中的ctfmon.exe是在后台自动运行,病毒(install病毒在ctfmon.exe中值的名字)就在其中。
--------------------------------------------------------------------------------------------]
处理办法:(建议断网并且关闭其他运行的程序后进行。)
1. 结束“svchost.exe”进程。打开“任务管理器”→“进程”选项卡,找到“svchost.exe”进程。“svchost.exe” 进程有很多个,按“映像名称”排序(就是鼠标单击其标签),按a-z顺序,最下面那个“svchost.exe” (该进程用户名一般为当前系统的用户名)就是被病毒利用的进程,结束该进程。
2. 删除SysAnti.exe和autorun.inf病 毒。(1)打开压缩软件WinRAR(该软件可以看到所有隐藏的文件),分别浏览电脑上的分区(C、D、E、F...盘 以及U盘),在盘符下面找到SysAnti.exe和autorun.inf病毒文件,右击该文件删除即可。(2)利用压缩软件WinRAR,打开系统盘\Program Files\Common Fiiles文件夹将里面的SysAnti.exe病毒文件删除。(友情提示:删除病毒文件之后,还要清理IE临 时文件。)
3. 用杀毒软件杀毒。利用以上方法将SysAnti.exe和autorun.inf病 毒文件删除后即可利用杀毒软件(360、卡巴斯基、诺顿、瑞星等都可以)杀毒了,用最新升级的杀毒软件对电脑进行全盘病毒查杀 (包括U盘)即完全将查杀SysAnti.exe和autorun.inf病 毒了。最后修复被损坏的一些系统文件,如COMRes.dll的修复(可以用工具搞定)。
1. 结束“svchost.exe”进程。打开“任务管理器”→“进程”选项卡,找到“svchost.exe”进程。“svchost.exe” 进程有很多个,按“映像名称”排序(就是鼠标单击其标签),按a-z顺序,最下面那个“svchost.exe” (该进程用户名一般为当前系统的用户名)就是被病毒利用的进程,结束该进程。
2. 删除SysAnti.exe和autorun.inf病 毒。(1)打开压缩软件WinRAR(该软件可以看到所有隐藏的文件),分别浏览电脑上的分区(C、D、E、F...盘 以及U盘),在盘符下面找到SysAnti.exe和autorun.inf病毒文件,右击该文件删除即可。(2)利用压缩软件WinRAR,打开系统盘\Program Files\Common Fiiles文件夹将里面的SysAnti.exe病毒文件删除。(友情提示:删除病毒文件之后,还要清理IE临 时文件。)
3. 用杀毒软件杀毒。利用以上方法将SysAnti.exe和autorun.inf病 毒文件删除后即可利用杀毒软件(360、卡巴斯基、诺顿、瑞星等都可以)杀毒了,用最新升级的杀毒软件对电脑进行全盘病毒查杀 (包括U盘)即完全将查杀SysAnti.exe和autorun.inf病 毒了。最后修复被损坏的一些系统文件,如COMRes.dll的修复(可以用工具搞定)。
