今天我用學校的電腦,U盤中毒,根文件夾下有SysAnti.exe和autorun.inf兩個文件,無法刪除(刪除後自動生成),從網上找了一些方法:
SysAnti.exe發作後,無法打開任何殺毒軟件,而且直接刪除SysAnti.exe病毒文件也無法刪除(刪了又會出現),因爲病毒會自動檢測運行項裏的關鍵字,如在IE、記事本或Word中輸入或含有SysAnti.exe殺毒、專殺工具等關鍵字和運行電腦裏面的殺毒軟件瑞星、360、金山、卡巴斯基等就會強行關閉這些項。如你重啓電腦後,explorer.exe無法運行(被病毒破壞),桌面上沒有任何圖標,只有一張壁紙了!
SysAnti.exe病毒(以及autorun.inf病毒)
該病毒的運行原理:
SysAnti.exe運行後,釋放病毒文件SysAnti.exe和autorun.inf到硬盤各個分區根目錄以及連接到中招電腦上的移動存貯介質的根目錄。接下來,首先在%windows%\Fonts目錄釋放並加載運行一個隨機字母名的病毒.dll。此dll運行後,即刻關閉IceSword、 autoruns、sreng等常用手工殺毒輔助工具並在註冊表中添加IFEO劫持項,破壞多種殺軟和防火牆加載運行。另:此毒釋放多個病毒.dll 到%system%目錄和%windows%\Fonts目錄;釋放病毒文件.fon、.ttf到%windows%\Fonts目錄。釋放病毒驅動.sys到系統驅動目錄並改寫一個正常的系統驅動程序.sys;替換系統程序userinit.exe。此毒感染系統文件以外的所有.exe文件。這個病毒的反刪除招數就是把自己的程序注入進程svchost.exe中,從而隱藏自己,從表面上看它調用explorer.exe 。在註冊表中的 Run 中的ctfmon.exe是在後臺自動運行,病毒(install病毒在ctfmon.exe中值的名字)就在其中。
處理辦法(建議斷網殺毒,因爲病毒會聯網下載更新,非常人性化)
★基本查殺法:
1. 結束“svchost.exe”進程。打開“任務管理器”→“進程”選項卡,找到“svchost.exe”進程。“svchost.exe”進程有很多個,按“映像名稱”排序(就是鼠標單擊其標籤),按a-z順序,最下面那個“svchost.exe” (該進程用戶名一般爲當前系統的用戶名)就是被病毒利用的進程,結束該進程。
2.刪除SysAnti.exe和autorun.inf病毒。(1)打開壓縮軟件WinRAR(該軟件可以看到所有隱藏的文件),分別瀏覽電腦上的分區(C、D、E、F...盤以及U盤),在盤符下面找到SysAnti.exe和autorun.inf病毒文件,右擊該文件刪除即可。(2)利用壓縮軟件WinRAR,打開系統盤\Program Files\Common Fiiles文件夾將裏面的SysAnti.exe病毒文件刪除。(友情提示:刪除病毒文件之後,還要清理IE臨時文件。)
3.用殺毒軟件殺毒。利用以上方法將SysAnti.exe和autorun.inf病毒文件刪除後即可利用殺毒軟件(360、卡巴斯基、諾頓、瑞星等都可以)殺毒了,用最新升級的殺毒軟件對電腦進行全盤病毒查殺(包括U盤)即完全將查殺SysAnti.exe和autorun.inf病毒了。
★徹底查殺法:
首先刪除
一、如果桌面上的圖標還顯示的話,只能運行360頑固木馬專殺工具(如果你電腦上裝了“360頑固木馬專殺工具http://www.360.cn/killer/360compkill.html”,其他殺毒軟件被病毒屏蔽了;如果電腦上沒有此工具,用U盤傳一個,但用完後u盤也務必殺毒)這時可以查出很多後生成的木馬文件,先刪除他們。不想讓病毒再次釋放和加載的話,則要通過刪除註冊表中的啓動項。
1.因此要想從容刪除,就得先終止進程svchost.exe。打開“任務管理器”→“進程”選項卡,找到“svchost.exe”進程。但svchost.exe進程數目很多,不能隨便終止。一般,當按映像名稱排序(就是鼠標單擊其標籤),按a-z順序,最下面那個就是被病毒利用的進程,結束該進程(該進程用戶名一般爲當前系統用戶名)。之後,可以到各目錄下刪除SysAnti.exe病毒了(小心別把它再激活了)。務必刪除乾淨(包括autoarun.inf文件)。(友情提示:系統盤\Program Files\Common Fiiles下面也有sysanti.exe文件,也把它刪除了,還有別忘了清理IE臨時文件。)
此外,該病毒可能還有其它附件,手動刪除之後最好用殺毒軟件查殺(現在就可以用電腦中的殺毒軟件了)。
2.刪除註冊表中的Run 中ctfmon.exe項的其他值install(病毒在ctfmon.exe項中的值的名字)就在其中,馬上刪除它,只保留C:\WINDOWS\system32\ctfmon.exe,防止病毒再次釋放和加載。
3.進DOS中查看個盤的所用文件,輸入dir /a查看是否有SysAnti.exe 和autorun.inf 。如果有的話,再次del。
4.重啓計算機進入安全模式再來個全盤殺毒。
5.最後修復被損壞的一些系統文件,如COMRes.dll的修復。
此病毒的軟肋是%windows%\Fonts目錄那個隨機文件名的.dll。如能阻止此dll釋放/加載,這個SysAnti.exe基本就是個死東西。
二、如果你的桌面已經是一片空白了,就只有ctrl+alt+del調出任務管理器,在新建任務裏面運行360頑固木馬專殺工具。
★簡易操作法
全盤格式化,再重新裝系統。
友情提示:一鍵GHOST是沒有用的,病毒在D、E、F、G盤是有備份,只要進入任意的D、E、F、G盤,病毒會再次發作。中了毒的電腦用起來感覺就是不舒服。
(以上的內容僅供參考)