|
馬上注冊,結交更多好友,享用更多功能。
您需要 登錄 才可以下載或查看,沒(méi)有帳號?注冊
x
1、主要特征:桌面上出現幾個(gè)刪除不了的圖標,名稱(chēng)有 淘寶網(wǎng),淘寶導購,淘寶熱賣(mài),淘寶優(yōu)惠區,高清影視,高清電影 等,其通過(guò)右鍵無(wú)法刪除,使用工具刪除清理后重復出現。
2、隱含特征:這是一個(gè)引導型病毒,病毒會(huì )在感染初期就修改PC系統的硬盤(pán)主引導模塊[主MBR],這樣它就先于Windows系統啟動(dòng)而進(jìn)入內存,病毒有一部分存在于硬盤(pán)的空閑扇區中,當引導程序激活它以后,用戶(hù)即使重新安裝系統也會(huì )在第一次啟動(dòng)時(shí)就被重復感染,新裝系統感染的特征為啟動(dòng)進(jìn)程中有一個(gè)“nat.exe”程序,通過(guò)注冊表HKLM_Run主鍵自啟動(dòng),并標名為“Qq”。發(fā)現這一點(diǎn)的原因在于接修客戶(hù)的機器原有F11一鍵還原系統,但其提示F11按鍵的MBR消失,并且能夠感覺(jué)到在MBR引導的一瞬間,機器停了一下,很短很短的時(shí)間,完全憑感覺(jué)比較出來(lái)的,這個(gè)時(shí)刻應該是病毒從MBR中引導自身模塊進(jìn)入內存的過(guò)程。
3、感染機系統在空閑時(shí)進(jìn)程中多出一些未知的程序,并且偽裝成與系統類(lèi)似的名稱(chēng)比如wupmgr.exe,svchost.exe[不好分別]。
4、感染機系統各分區根目錄下,全部的目錄及程序可能都被隱藏并出現偽裝的替代同名程序,辨別方法是資源管理器顯示詳細信息,其目錄圖標偽裝的程序,分類(lèi)不是文件夾。
清除建議:
1、應首先重置硬盤(pán)的主引導記錄MBR,使用光盤(pán),U盤(pán)或移動(dòng)硬盤(pán)啟動(dòng),利用其所帶磁盤(pán)工具,將主機的硬盤(pán)MBR還原為標準MBR。還原完不要啟機進(jìn)入系統防止重復感染。
2、立刻重裝系統,或者重G系統,如果有還原備份的話(huà),可以通過(guò)光盤(pán)、U盤(pán)、移動(dòng)硬盤(pán)運行Ghost主程序來(lái)還原主機系統。
3、建議在WinPE工具環(huán)境下,整理主機各分區根目錄,辨別刪除病毒體偽裝的文件,特征是其文件的生成時(shí)間都是同一時(shí)刻[也就是此機被感染時(shí)間],大小相同,圖標為文件夾類(lèi)似黃SE,名稱(chēng)為原目錄名同名。
4、正確重新做好系統后,進(jìn)入桌面不要查看我的電腦,或者資源管理器中的任何文件[病毒體可能在其它分區中易被激活],請在第一時(shí)間配置好上網(wǎng)程序,連網(wǎng)下載免費殺毒軟件,比如可牛殺毒,或者360殺毒,靜待下載及安裝完成,并且通過(guò)其打全所有系統漏洞補丁。然后讓殺毒軟件查殺各分區,確保病毒被清除。
5、完成后,如果需要,建議更換殺毒為自己喜歡的殺毒軟件程序。 |
|