讀者來信:我的電腦被幕後黑手操縱了,每次打開IE都會彈出軟件安裝窗口,接著就開始運行自動化的安裝過程。在打開IE的時候,還會彈出XP防火牆的提示窗口。我懷疑是最近閃存盤病毒,可是右鍵單擊盤符卻沒有發現Auto之類的命令。www.sq120.com推薦文章
重新安裝系統後,我仍然無法清除該病毒。每次都無法雙擊或者右鍵單擊打開D盤。請問《電腦報》的安全專家,是什麼幽靈控制了我的電腦?我應該怎麼辦?
安全專家:根據讀者來信反映的情況,我們知道這是目前猖狂作案的KL木馬下載器在搞鬼。相比起普通的閃存病毒,其侵害手段更加隱秘,一般電腦初學者無法通過重裝來清除。
感染該病毒後,病毒會插入IE進程和Explorer進程來下載流氓軟件,XP防火牆會彈出是否連接的窗口。顯而易見,病毒是以DLL的形式插入進程來進行破壞的,而病毒的初始程序是可執行文件。
該病毒運行後會嘗試感染EXE可執行文件。某些文件特別是一些軟件的安裝包、電子書等,被該病毒感染後會出現錯誤,無法正常使用。
采用常規的閃存盤病毒的清理方法,並不能完全清除KL木馬下載器。KL木馬下載器並不在右鍵菜單添加“Auto”命令,這會麻痺部分用戶,其實該病毒在雙擊打開磁盤分區時就運行了,病毒就隱藏在分區的RECYCLER目錄即回收站下,而病毒的autorun.inf文件的技術含量也大為提高。Tw.WinGwiT.Com
從病毒代碼中,我們發現右鍵菜單的“打開”和“資源管理器”命令其實是執行病毒程序,默認的雙擊的結果也是運行病毒。難怪用戶無法發現病毒在自動運行,這也是多次重裝後仍然讓病毒逍遙法外的重要原因。
KL木馬下載器全面清除方案
方案一:菜鳥清除法
首先,重裝系統,完成後不要打開任何磁盤直接進入“我的電腦”,選擇“工具→文件夾選項”命令,點擊“查看”選項,在“隱藏文件和文件夾”下選擇“顯示所有文件和文件夾”選項,這樣就可以讓隱藏的病毒文件現身了。
然後,右擊“我的電腦”選擇“資源管理器”命令,在打開的資源管理器中檢查非系統盤符下的RECYCLER(是隱藏屬性)中是否有Autosetup.exe,如果有的話就進行刪除,接著回到根目錄刪除autorun.inf文件。
一定要仔細檢查所有盤符下的該目錄,做到徹底清除病毒文件。最後再安裝殺毒軟件,修復被病毒感染的文件。
方案二:高手殲滅法
第一步:重啟系統,按F8進入安全模式。使用《超級巡警》終止病毒創建的進程Services.exe、inini.exe、meecall.exe、UUSeePlayer.exe。然後刪除下載的流氓軟件安裝包和病毒進程的文件(如C:\windows\services.exe)。
第二步:使用《冰刃》刪除盤符下的autorun.inf文件、Autosetup.exe文件。這樣就可以防止再次運行病毒了。
第三步:打開System Repair Engineer,進入“啟動項目”選項,可以看到很多非法啟動項目。選中meecall、swg、KernelFaultCheck、OSSelectReinstal、Windowsupdate、SmCtrlDrv、IdnSvr、tzc02,0,tzchange.exe /F Pacific SA Standard Time /S 10 6 2 23 59 59 999 /E 3 6 2 23 59 59 999 /G、IFEo[Explorer.exe]等刪除。
還要記得刪除啟動程序目錄下的相關文件,然後進入“系統修復”選項,選擇“浏覽器加載項”刪除流氓軟件的BHO、Activex等項目。
第四步:重新啟動系統發現已經恢復正常了。不過,你會發現雙擊或者右鍵單擊打開感染過病毒的盤符,會出現查找病毒文件而無法正常進入的情況,這是因為病毒自動運行的信息還在注冊表裡。
我們需要打開注冊表編輯器進行修復,進入“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f39bd44e-53b7-11dc-8145-806d6172696f}”項,刪除下面的shell子項即可恢復正常了(如圖)。
預防技巧
KL木馬下載器是一種閃存盤病毒,用戶可以安裝《U盤病毒免疫器》(下載地址:http://www.cpcw.com/bzsoft/)之類的安全工具進行預防。此外,我們還需要經常給系統打補丁,用《卡卡上網助手》的IE防漏牆功能來防范木馬程序的自動運行。
From:http://tw.wingwit.com/Article/Network/201309/410.html