禽兽病毒完全解决方案
毒性更胜AV病毒 禽兽完全解决方案
中病毒后,最容易被观察到的现象是弹出广告,任务管理器被禁用,杀毒软件不能正常启动,不能升级,浏览器主页被锁定为www.baidu.com
详细分析:
病毒全名:Worm.Downloader.cr.34304
病毒长度:34304
威胁级别:★★
病毒类型:蠕虫病毒
简介:
这是一个蠕虫病毒。该病毒运行后,会在各盘产生auto病毒。并在系统盘的多个目录下生成大量病毒文件。
而且病毒会通过映像劫持的方法,使得各安全软件无法使用。纂改文件隐藏功能。修改了浏览器主页,在打开浏览器时会自行下载病毒,并且弹出广告等行为。
病毒行为:
1.病毒运行后,产生以下病毒文件
%local settings%\temporary Internet Files\Content.IE5\EC5UKR17\tj[1].htm
%local settings%\temporary Internet Files\Content.IE5\GR8I0NOH\down[1].txt
%local settings%\temporary Internet Files\Content.IE5\YF9D3U1Z\tempA[1].exe
%Program Files%\Internet Explorer\PLUGINS\SysWin64.Jmp
%Program Files%\Internet Explorer\PLUGINS\WinSys64.Sys
在%windows%\Fonts下添加许多后缀为"fon"的文件
在%windows%\system32下添加许多后缀为"dll"和"exe"的病毒文件
在%temp%目录下同样产生病毒文件
2.在各盘目录下,会生成AUTO病毒,分别是niu.exe和autorun.inf。其中,autorun.inf所指向的病毒是niu.exe,当用户左键双击进入该盘时,病毒随之触发。
3.病毒运行后,任务管理器被屏蔽不可使用(如图)。
4.病毒运行后,隐藏文件的功能被纂改,并且把文字内容也修改。那句话的全部是“禽兽尚且有半点怜悯之心,而我一点没有,所以我不是禽兽。”(如图)
5.病毒利用映像劫持的技术,使众多安全软件不可使用,只要以下有列出来的文件名,当病毒监测到时,就会自行关闭。看看,还有哪个病毒劫持的安全软件比它多。(如图)
6.病毒把主页修改为www.baidu.com
7.会监视窗口,当在浏览器输入与"安全"或"病毒"相关的网站,病毒会把浏览器立即关闭。
8.打开浏览器会弹广告。
9.病毒会从以下地址下载更多木马
10.通过以下文本里的文件,对以下关键字进行监测,检测后尝试关闭相关网页。http://w.******.com/guanjian.txt,但是这里作者却把两个杀软的名字弄错,(不知是不是故意放卡巴和江民一马)
病毒还会利用www.******.com/pu/tj.asp,进行感染量统计。
一、清除病毒主程序
下载冰刃
sreng
1.解压IceSword122cn.zip把Icesword.exe改名为1.com(使用AV终结者专杀后,可不用修改,既能运行)运行 切换到进程窗口,结束%system32%\crsss.exe进程 (注意是crsss.exe不是csrss.exe,一定不要搞错)
2.点击左下角文件按钮 删除如下文件%system32%\crsss.exe和每个分区下的niu.exe和autorun.inf(一定不要落下这一步)
二、修复被病毒破坏的系统
1.打开sreng启动项目,注册表。删除所有红色的IFEO映像劫持项目,并删除
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]下的
专杀解决方案:
该病毒的清除,是相对比较麻烦的,尽管如此,请您不要轻易格式化重装,因为病毒还会通过自动播放传播,重装后,很容易再中。
这个禽兽病毒的处理,和AV终结者病毒相似。我们需要在正常的电脑上下载AV终结者专杀,再COPY到本地计算机,运行专杀工具可修复被破坏的安全模式和映像劫持。然后,杀毒软件就可以正常使用了。
请点击这里下载AV终结者专杀
这时,再使用资源管理器浏览到金山毒霸的安装目录下(切记不要使用双击磁盘运行程序),执行uplive.exe升级金山毒霸。然后立即全盘杀毒,最后,使用金山清理专家,把病毒修改的注册表项全部修复。因为这个“禽兽”病毒还下载了很多其它病毒在IE缓存文件夹,建议,直接使用清理专家百宝箱中的垃圾文件清理,直接删除这些垃圾文件。
从这里下载金山清理专家
最后再次提醒大家一定要关闭电脑的自动播放功能,不要让此类恶性U盘病毒再如此肆意传播了!