使用清理專家假冒“在線修復(fù)kaspersky”
【賽迪網(wǎng)-IT技術(shù)報道】近日,發(fā)現(xiàn)了一個超BT的木馬下載器,這個下載器修改的程序啟動加載項達數(shù)10個之多,從這個帖子的日志顯示,加載項甚至達到上百個之多。
請參考:http://bbs.duba.net/thread-21946982-1-1.html
在得到這個病毒的樣本之后,我們發(fā)現(xiàn)這個病毒每重啟一次系統(tǒng)會在系統(tǒng)中添加若干個啟動加載項和服務(wù)加載項,當(dāng)用戶覺得系統(tǒng)異常,重啟電腦之后,會導(dǎo)致病毒添加的項越來越多,系統(tǒng)會變得非常緩慢,并且會頻繁彈出網(wǎng)頁廣告。
病毒每次重啟,生成的程序文件名都是隨機的,這樣導(dǎo)致某些采用文件名識別惡意軟件的工具毫無用處。這些木馬文件有明顯共同點,很容易識別。
這是其中某一個文件的屬性特征,隱藏、系統(tǒng)屬性,圖標(biāo)都是IE瀏覽器,文件的大小都是60KB,
這是在windows目錄下發(fā)現(xiàn)的一批下載器,都是隱藏、系統(tǒng)屬性,圖標(biāo)和IE瀏覽器一樣,文件的大小都是60KB,需要修改文件夾選項才可以查看。
運行金山清理專家,百寶箱中的進程管理器,可以看到很多個隨機文件名的exe文件
一個個手動定位文件位置是很費力的,我們可以充分使用windows的搜索功能,注意修改搜索選項。
我們搜索windows 目錄下大小為60KB,創(chuàng)建時間和我們觀察的其中一樣相同日期EXE文件,可以把這一類木馬下載器找到。
然后在搜索結(jié)果的窗口中按ctrl+A全部選中這些EXE,然后再打開清理專家百寶箱中的文件粉碎器,將這些EXE全部拖放到文件粉碎器的窗口(如果窗口相互覆蓋,只需要將搜索結(jié)果的窗口取消化,調(diào)整大小,使桌面上能同時顯示兩個窗口,再完成文件拖放。)
將這些EXE全部徹底刪除,先不忙著立即重啟系統(tǒng),再使用診斷,啟動項管理,檢查會發(fā)現(xiàn)很多殘留的加載項,依次選中這些加載項,再點右鍵,在彈出的菜單中選擇修復(fù)。
同樣的方法,切換到診斷,將殘留項全部選中,再單擊下面的“修復(fù)選中項”
接下來切換到百寶箱中的系統(tǒng)修復(fù),發(fā)現(xiàn)模式已經(jīng)被病毒破壞,我們只需要選擇修復(fù)可以。
,我們重啟電腦,再把上述檢查重復(fù)一遍,你會發(fā)現(xiàn)病毒的所有修改都被修復(fù)完成。
但毒霸還是不能啟動,這是病毒刪除了毒霸的啟動加載項。
我們只需要執(zhí)行一個簡單的修復(fù)動作可以讓毒霸完全恢復(fù)正常。
單擊開始,運行,輸入cmd,打開命令行窗口。
依次鍵入cd pro ,按tab鍵,進入program file文件夾。依次鍵入king 按tab鍵,再鍵入k,按tab鍵,進入毒霸的安裝路徑“Kingsoft Internet Security 08”文件夾,執(zhí)行setupwiz -i,啟動毒霸修復(fù)程序,程序會嘗試修復(fù)所有組件的重新注冊。
再運行毒霸安裝目錄下的uplive.exe,將毒霸升級到版本,對windows目錄進行檢查。其實查不查都不要緊了,我的經(jīng)驗是實時監(jiān)控不攔截,可以不必去查毒。
- TEL:131 7970 3111
-
慧網(wǎng)微信
- 掃描二維碼
- 關(guān)注邳州在線
-
手機網(wǎng)站
- 手機掃描二維碼
- 進入手機站
網(wǎng)站地圖
付款方式