删除杀软文件和任意文件名Sreng的强势病毒

解读删除杀软文件和任意文件名Sreng的强势病毒

近段时间毒霸客服段段续续遇到杀毒软件相关程序被删除的用户咨询，这些用户曾经尝试安装其他杀毒软件。如瑞星、卡巴、江民等，但很不幸的是杀毒软件的安装文件运行后便均被删除。更加有趣的是Sreng检测工具修改为任意名称后，刚一运行也立即在用户电脑上消失。

如此恶劣的病毒究竟做了什么、有什么共性、毒霸以及毒霸用户遇到后的对策是什么呢？

                                                            ————本文主要针对这些广大用户关注的疑点作出解释。

病毒做了什么：
根据样本提取的情况看，该病毒将自身线程注入了多个进程并监视杀毒软件窗口以及sreng窗口。发现杀毒软件信息或者SReng作者的信息后便立即通过注入的病毒线程执行删除操作。

病毒共性：
就毒霸客服提取的病毒样本看，中此病毒的用户主机的QQ目录下普遍存在两个隐藏的dll文件，同时添加了自身的API HOOK。修改hosts文件联机下载病毒同时屏蔽杀软域名。
执行删除杀软操作的线程主文件的扩展名通常为非常用扩展名，如：rajsbkt.tcl、jwneriz.fwn、dmzir.hud等。
该主文件写入的随机启动注册表位置如下：
【HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad】

特别提示:不建议使用非官方版本的QQ程序，就像毒霸客服无法确认盗版毒霸的程序文件以及病毒库更新的来源一样。

毒霸的对策：
由于该病毒删除屏蔽了目前几乎所有主流杀毒软件以及检测工具这一特性，所以大多数一般用户选择了重装系统。金山客服中心对此类病毒一直保持着极高的关注度，目前已经提取到足够数量的病毒样本，并通过毒霸的更新对其免疫与查杀。毒霸客服对于已经遭遇此病毒的毒霸付费用户，已经提供了手动处理方案。

优质高效率的病毒库更新，使得金山毒霸领先其他反病毒厂商率先免疫查杀此类病毒。

病毒尝试加载注入时毒霸监控会有如下提示信息：

使用毒霸扫描会有类似检测结果：

毒霸用户遇到后的对策：
毒霸客服一直以来以认真负责、求实高效的工作作风长期帮助大量毒霸用户解决了大量疑难病毒问题以及进行病毒样本的提取工作。有着丰富的病毒处理经验与良好的客服服务意识。
如果毒霸正版付费用户遇到此类强势病毒无法处理的话，请与毒霸客服联系解决。
(注：为保证毒霸正版用户的权益，非毒霸用户请优先联系毒霸论坛解决。)