毒性更勝AV病毒 禽獸完全解決方案(圖)
典型中毒表現
中病毒后,最容易被觀察到的現象是彈出廣告,任務管理器被禁用,殺毒軟件不能正常啟動,不能升級,瀏覽器主頁被鎖定為www.baidu.com
詳細分析:
病毒全名:Worm.Downloader.cr.34304
病毒長度:34304
威脅級別:★★
病毒類型:蠕蟲病毒
簡介:
這是一個蠕蟲病毒。該病毒運行后,會在各盤產生auto病毒。并在系統盤的多個目錄下生成大量病毒文件。
而且病毒會通過映像劫持的方法,使得各安全軟件無法使用。纂改文件隱藏功能。修改了瀏覽器主頁,在打開瀏覽器時會自行下載病毒,并且彈出廣告等行為。
病毒行為:
1.病毒運行后,產生以下病毒文件
%local settings%temporary Internet FilesContent.IE5EC5UKR17tj[1].htm
%local settings%temporary Internet FilesContent.IE5GR8I0NOHdown[1].txt
%local settings%temporary Internet FilesContent.IE5YF9D3U1ZtempA[1].exe
%Program Files%Internet ExplorerPLUGINSSysWin64.Jmp
%Program Files%Internet ExplorerPLUGINSWinSys64.Sys
在%windows%Fonts下添加許多后綴為"fon"的文件
在%windows%system32下添加許多后綴為"dll"和"exe"的病毒文件
在%temp%目錄下同樣產生病毒文件
2.在各盤目錄下,會生成AUTO病毒,分別是niu.exe和autorun.inf。其中,autorun.inf所指向的病毒是niu.exe,當用戶左鍵雙擊進入該盤時,病毒隨之觸發。
3.病毒運行后,任務管理器被屏蔽不可使用(如圖)。
4.病毒運行后,隱藏文件的功能被纂改,并且把文字內容也修改。那句話的全部是“禽獸尚且有半點憐憫之心,而我一點沒有,所以我不是禽獸。”(如圖)
5.病毒利用映像劫持的技術,使眾多安全軟件不可使用,只要以下有列出來的文件名,當病毒監測到時,就會自行關閉。看看,還有哪個病毒劫持的安全軟件比它多。(如圖)
6.病毒把主頁修改為www.baidu.com 7.會監視窗口,當在瀏覽器輸入與"安全"或"病毒"相關的網站,病毒會把瀏覽器立即關閉。 8.打開瀏覽器會彈廣告。 9.病毒會從以下地址下載更多木馬
10.通過以下文本里的文件,對以下關鍵字進行監測,檢測后嘗試關閉相關網頁。http://w.******.com/guanjian.txt,但是這里作者卻把兩個殺軟的名字弄錯,(不知是不是故意放卡巴和江民一馬)
病毒還會利用www.******.com/pu/tj.asp,進行感染量統計。
手工刪除方案: 一、清除病毒主程序 下載冰刃 sreng 1.解壓IceSword122cn.zip把Icesword.exe改名為1.com(使用AV終結者專殺后,可不用修改,既能運行)運行 切換到進程窗口,結束%system32%crsss.exe進程 (注意是crsss.exe不是csrss.exe,一定不要搞錯)
2.點擊左下角文件按鈕 刪除如下文件%system32%crsss.exe和每個分區下的niu.exe和autorun.inf(一定不要落下這一步)
二、修復被病毒破壞的系統 1.打開sreng啟動項目,注冊表。刪除所有紅色的IFEO映像劫持項目,并刪除 [HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]下的 專殺解決方案: 該病毒的清除,是相對比較麻煩的,盡管如此,請您不要輕易格式化重裝,因為病毒還會通過自動播放傳播,重裝后,很容易再中。 這個禽獸病毒的處理,和AV終結者病毒相似。我們需要在正常的電腦上下載AV終結者專殺,再COPY到本地計算機,運行專殺工具可修復被破壞的安全模式和映像劫持。然后,殺毒軟件就可以正常使用了。 這時,再使用資源管理器瀏覽到金山毒霸的安裝目錄下(切記不要使用雙擊磁盤運行程序),執行uplive.exe升級金山毒霸。然后立即全盤殺毒,最后,使用金山清理專家,把病毒修改的注冊表項全部修復。因為這個“禽獸”病毒還下載了很多其它病毒在IE緩存文件夾,建議,直接使用清理專家百寶箱中的垃圾文件清理,直接刪除這些垃圾文件。 最后再次提醒大家一定要關閉電腦的自動播放功能,不要讓此類惡性U盤病毒再如此肆意傳播了!
【編輯推薦】
