扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
分析报告1:该病毒在互联网上通过MSN传播,用户接收了含病毒的压缩包并解压后,会得到.scr图片文件和.exe病毒(图1)。
分析报告2:该病毒运行后,会释放主文件symlsry和autorun.inf文件到硬盘的每个分区和移动存储设备中,并能通过系统自动播放功能激活病毒。这样即使重装了系统,打开非系统盘的其他盘符,也会再次感染病毒。为了隐藏自己,该病毒将主文件保存在自己创建的属性为隐藏的回收站文件夹下,非常难发现。
分析报告3:该病毒会创建隐藏的进程(进程名是随机的),用来关闭安全软件及一些安全辅助工具。此外,通过修改HOSTS文件禁止用户登录安全网站,以阻拦用户通过网络获得安全厂商的技术援助。
分析报告4:该病毒会检测是否在虚拟机中运行,如果发现不是真实电脑会自动终止执行,以避免被人在虚拟机中查到蛛丝马迹。做完这些,该病毒就会修改注册表,导致关机按钮消失、无法进入安全模式等。
清除“灰色插图”病毒
知道病毒的底细,就好办了,我很快就找到了清除方法:
第一步:首先运行安全工具Wsyscheck。运行后切换到“进程管理”项,会发现其中有一个symlsry进程,选中该进程后点击右键选择“禁止选择的程序运行”(图2)。
第二步:再切换到“安全检查”中的“活动文件”功能,将此前进程中看到的病毒启动项“修复并删除”。此操作会将注册表中病毒信息以及病毒文件同时处理掉。再切换到“文件管理”,删除病毒的备份文件(图3),其中包括autorun.inf以及相同修改时间的RECYCLER文件夹。
第三步:进入系统分区下的windows\system32\dirvers\etc\目录,使用记事本程序打开HOSTS文件,将里面的内容完全清空后输入127.0.0.1 localhost即可(图4)。
最后重新安装杀毒软件并升级病毒库到最新版本,再进行全盘查杀,将病毒残留物彻底清除干净。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。