熱點推薦:
您现在的位置: 電腦知識網 >> 網絡技術 >> 正文

如何清除Nwizs.exe病毒

2013-09-12 15:29:02  來源: 網絡技術 

  最近我上網以後系統運行就特別緩慢,請朋友幫我檢查後得知,應該是有大量數據在後台下載造成的。朋友建議我殺毒,可啟動殺毒軟件沒有任何反應,這時朋友告訴我上安全論壇求助試試。上網後,浏覽器默認打開了谷歌首頁,朋友說這種現象不對頭,果然我進入安全論壇後窗口馬上被關閉。請問醫生,這到底是怎麼回事?我的系統中了什麼病毒?
是我修改你的首頁
  SSDT中文名詞是“系統服務描述符表”。大量的安全工具都是通過它在系統內部改變程序的運行規則,從而使程序出現可疑行為時,安全軟件會對用戶進行警告。
  嘻嘻,我坦白,是我干的!記住我的名字:大水牛下載者。我是一款結合了木馬、流氓軟件特點的下載病毒。當我通過網頁木馬等方式進入到用戶系統以後,首先會在系統目錄釋放出多個病毒文件,並且在所有的驅動器下創建Autorun.inf 和Nwizs.exe,從而讓用戶雙擊磁盤就中招。
  接著,我的主文件Nwizs.exe會修改系統注冊表,添加到啟動項裡面,從而實現開機後隨機啟動,並且用戶無法看到病毒文件和相應的注冊表鍵值。另外,Nwizs.exe還會進行IFEO 映像劫持、破壞注冊表隱藏鍵值、定時悄悄地彈出窗口,並且還設置IE浏覽器起始頁,默認設置的是谷歌的首頁。
  然後,我會創建兩個Svchost.exe進程來運行自己。由於在正常系統中會同時存在多個Svchost.exe進程,這樣就具有很強的迷惑性,普通用戶無法判斷該終止哪個進程。tW.wIngWIt.coM在系統的臨時目錄裡面,還會釋放一個5 位字符組成的隨機名的.tmp 文件,利用它來替換加載的%SystemRoot%\system32\drivers\Beep.Sys。這樣就可以在無系統提示的情況下,悄悄覆蓋系統的SSDT表,從而讓系統中具有主動防御的殺毒軟件失效。
  最後,我會插入到進程Iexplore.exe中,查找並關閉殺毒軟件的進程。同時關閉帶有關鍵字的窗口,關鍵字包括金山毒霸、江民等。入侵活動進行得差不多了,我就會從網絡中下載其他病毒。
看我庖丁解“牛”
  我來了!有我在,大水牛病毒你還能猖狂?看我如何把你解剖了。
  第一步:首先斷開計算機網絡,截斷病毒和外界連接的途徑。打開命令提示符窗口,輸入命令:Nwizs.exe -clear(見圖)。該命令可以讓病毒的自我保護功能立刻消失,這樣為後面的清除鋪平了道路。大約等上一分鐘就可以了,然後啟動SREng,點擊SREng主窗口“啟動項目”按鈕,選中“注冊表”標簽刪除那些紅色的項目,這些都是被映像劫持的內容。

  第二步:在開始菜單中的“運行”中輸入Regedit,從而打開系統的注冊表編輯器。依次展開到HKEY_CURRENT_USER\Software\Microsoft\DsNiu\InjectDown V3.5-V,會在窗口中發現“”PID1“=”和“”PID2“=”兩項內容,其中PID1和PID2分別對應偽造的Svchost.exe的PID。運行《冰刃》後點擊工具欄中的“進程”按鈕,分別結束PID1和PID2指向的兩個Svchost.exe進程。
  第三步:重新啟動系統,點擊“文件夾選項”命令,選取其中的“顯示隱藏文件或文件夾”和清除“隱藏受保護的操作系統文件(推薦)”前面的鉤。然後搜索System32目錄中的Hook_nwizs.Dll和Nwizs.Exe文件,以及各個磁盤分區下的Nwizs.exe 和Autorun.inf文件,找到以後將它們刪除就可以了。

 
From:http://tw.wingwit.com/Article/Network/201309/143.html
  • 上一篇文章:

  • 下一篇文章:
  • Copyright © 2005-2013 電腦知識網 Computer Knowledge   All rights reserved.