最近我啟動電腦後,屏幕上就跳出一些DOS窗口,顯示一些奇怪的文件名,似乎什麼進程運行失敗,右下角的諾頓殺毒軟件處於禁用狀態,當鼠標移動到上面以後連圖標都消失了,而且家庭局域網中另一台電腦的殺毒軟件也不能運行了,電腦速度也變慢了。我懷疑是中了病毒,於是請朋友來幫我看看,得知我的電腦好像中了一種名叫Worm.VB.jw.372736的病毒,是它把我的殺毒軟件劫持了。我要怎麼才能徹底消滅它呢?
病毒自述:劫持殺毒軟件,打造“安全真空”
我叫“土匪蟲71682”,是蠕蟲病毒家族的“新寶寶”,威力超強無敵,不但能劫持經常使用的殺毒軟件,讓它們都“歇菜”,還可以運用敏銳的嗅覺查找當前可用的網絡連接和共享進行傳播。厲害吧?下面就來看我是如何“拳打腳踢”的。
當我進入用戶的電腦系統後,首先會在系統目錄的System文件夾中釋放Alcwzrd.exe、Ineters.exe、Notepd.exe、SoundMan.exe、Tttzhh.ini、Zjhz1.ini六個病毒文件,並賦予它們“光榮”而“艱巨”的破壞任務。
接著,我迅速修改系統注冊表,把自己的相關信息加入其中,實現隨系統啟動而自動運行的目的。另外再添加許多注冊表項,所有注冊表項均指向“svchost.exe”。
一旦添加到注冊表項中,則自動搜索系統中已安裝的殺毒軟件,顯露我的“土匪本色”,對它們實行映像劫持,包括金山毒霸、諾頓、卡巴斯基、瑞星等著名產品均在我的“黑名單”中。Tw.wiNGWit.Com
最後,我會利用嗅覺查找當前可用的網絡連接和共享,一旦找到了當前計算機的共享目錄,則馬上開始復制操作,將自身復制到共享目錄,傳播自己的“兄弟姐妹”。劫持了殺毒軟件的直接後果,則是導致電腦系統形成“安全真空”環境,直接給外部的病毒木馬以可乘之機。
本期醫生:徹底剿殺“土匪蟲71682”
我們不要被“土匪蟲71682”的流氓行為嚇倒,采用非常手段——利用幾款常用的安全工具聯合作戰,上演一出“剿匪記”。
Step1:先轉到安全模式下,打開“我的電腦”,選擇“工具”→“文件夾選項”,再選擇“查看”,取消“隱藏受保護的操作系統文件”前的對鉤,並在“隱藏文件和文件夾”項中選擇“顯示所有文件和文件夾”,然後點擊“確定”。
Step2:接下來刪除系統目錄System文件夾中的Alcwzrd.exe、Ineters.exe、Notepd.exe、SoundMan.exe、Ttzhh.ini、Zjhz1.ini病毒文件,某些文件在手工刪除時會提示此文件正在使用無法刪除,使用安全工具Unlocker(下載地址:http://www.cpcw.com/bzsoft)就可以避免這種問題。
Step3:然後升級當前計算機中所用的殺毒軟件到最新病毒庫進行全面查殺,再用《360安全衛士》配合AVG Anti-Virus來清除系統中剩余的病毒文件即可。
要避免被“土匪蟲71682”這樣的惡意病毒盯上,我們平時一定要養成良好的網絡使用習慣,開啟殺毒軟件監控功能(如郵件監控、內存監控等),還要及時升級殺毒軟件,開啟防火牆,切斷病毒傳播的途徑,不給病毒可乘之機。
From:http://tw.wingwit.com/Article/Network/201309/367.html