手动xxSysAnti.exe和autorun.inf病毒- 囧啊囧

今天去机房上上机课的时候U盘中毒了,这是第二次中SysAnti.exe和autorun.inf病毒了,相信很多同学朋友都知道学校机房的电脑就是一个病毒库,插U盘那是99%的中毒几率啊!

上次中毒了是回到寝室用卡巴解决的,这次想不就一个U盘病毒吗?出来这么多年了的病毒了,手工杀毒也有很多方法了,所以就拿出我的打开opera搜索了一下,果然让我给解决了,具体情况如下:

首先是如果中了SysAnti.exe和autorun.inf病毒你计算机的病毒相关的软件、IE、或者记事本里面关于杀毒软件的信息都会自动关闭,硬盘各个分区都有SysAnti.exe和autorun.inf这两个文件,而且删除了马上又会重新跑回来,普通办法你删除不掉。

该病毒的运行原理:

SysAnti.exe运行后,释放病毒文件SysAnti.exe和autorun.inf到 硬盘各个分区根目录以及连接到中招电脑上的移动存贮介质的根目录。接下来,首先在%windows%\Fonts目录释放并加 载运行一个随机字母名的病毒.dll。此dll运行后,即刻关闭IceSword、 autoruns、sreng等常用手工杀毒辅助工具并在注册表中添加IFEO劫 持项,破坏多种杀软和防火墙加载运行。另:此毒释放多个病毒.dll 到%system%目录和%windows%\Fonts目录;释放病毒文件.fon、.ttf到%windows%\Fonts目 录。释放病毒驱动.sys到系统驱动目录并改写一个正常的系统驱动程序.sys;替换系统程序userinit.exe。 此毒感染系统文件以外的所有.exe文件。这个病毒的反删除招数就是把自己的程序注入进程svchost.exe中, 从而隐藏自己,从表面上看它调用explorer.exe 。在注册表中的 Run 中的ctfmon.exe是在后台自动运行,病毒(install病毒在ctfmon.exe中 值的名字)就在其中。

处理办法:(建议断网并且关闭其他运行的程序后进行。)

★基本查杀法:

1. 结束“svchost.exe” 进程。打开“任务管理器”→“进程”选项卡,找到“svchost.exe”进程。“svchost.exe” 进程有很多个,按“映像名称”排序(就是鼠标单击其标签),按a-z顺序,最下面那个“svchost.exe” (该进程用户名一般为当前系统的用户名)就是被病毒利用的进程,结束该进程。

2.删除SysAnti.exe和autorun.inf病 毒。(1)打开压缩软件WinRAR(该软件可以看到所有隐藏的文件),分别浏览电脑上的分区(C、D、E、F…盘 以及U盘),在盘符下面找到SysAnti.exe和autorun.inf病 毒文件,右击该文件删除即可。(2)利用压缩软件WinRAR,打开系统盘\Program Files\Common Fiiles文件夹将里面的SysAnti.exe病毒文件删除。(友情提示:删除病毒文件之后,还要清理IE临 时文件。)

3.用杀毒软件杀毒。利用以上方法将SysAnti.exe和autorun.inf病 毒文件删除后即可利用杀毒软件(360、卡巴斯基、诺顿、瑞星等都可以)杀毒了,用{zx1}升级的杀毒软件对电脑进行全盘病毒查杀 (包括U盘)即xx将查杀SysAnti.exe和autorun.inf病 毒了。

★彻底查杀 法:

首先删除

一、如果桌面 上的图标还显示的话,只能运行360顽固木马专杀工具(如果你电脑上装了“360顽固木马专杀工具http://www.360.cn/killer/360compkill.html”, 其他杀毒软件被病毒屏蔽了;如果电脑上没有此工具,用U盘传一个,但用完后u盘 也务必杀毒)这时可以查出很多后生成的木马文件,先删除他们。不想让病毒再次释放和加载的话,则要通过删除注册表中的启动项。

1.因此要想从容删除,就得先终止进程svchost.exe。 打开“任务管理器”→“进程”选项卡,找到“svchost.exe”进程。但svchost.exe进 程数目很多,不能随便终止。一般,当按映像名称排序(就是鼠标单击其标签),按a-z顺序,最下面那个就是被病毒利用的进程, 结束该进程(该进程用户名一般为当前系统用户名)。之后,可以到各目录下删除SysAnti.exe病毒了(小心别把它再xx 了)。务必删除干净(包括autoarun.inf文件)。(友情提示:系统盘\Program Files\Common Fiiles下面也有sysanti.exe文件,也把它删除了,还有别忘了清理IE临 时文件。)

此外,该病毒 可能还有其它附件,手动删除之后{zh0}用杀毒软件查杀(现在就可以用电脑中的杀毒软件了)。

2.删除注册表中的Run 中ctfmon.exe项的其他值install(病毒在ctfmon.exe项 中的值的名字)就在其中,马上删除它,只保留C:\WINDOWS\system32\ctfmon.exe,防止病毒再次释 放和加载。

3.进DOS中查看个盘的所 用文件,输入dir /a查看是否有SysAnti.exe 和autorun.inf 。如果有的话,再次del。

4.重启计算机进入安全模式再来个全盘杀毒。

5.{zh1}修复被损坏的一些系统文件,如COMRes.dll的 修复。

此病毒的软肋 是%windows%\Fonts目录那个随机文件名的.dll。如能阻止此dll释 放/加载,这个SysAnti.exe基本就是个死东西。

二、如果你的 桌面已经是一片空白了,就只有ctrl+alt+del调出任务管理器,在新建任务里面运行360顽 固木马专杀工具。

★简易操作法

全盘格式化, 再重新装系统。

友情提示:一 键GHOST是没有用的,病毒在D、E、F、G盘 是有备份,只要进入任意的D、E、F、G盘, 病毒会再次发作。中了毒的电脑用起来感觉就是不舒服。
本文解决方法来自:
顺便杯具下!用微软的MES扫描了下U盘,结果显示有8个潜在威胁,想也没想顺手就点击清理了,点击完才发现原来是PE系统里面的一些工具,杯具呀杯具!顺便问问谁有比较好用的PE系统的,我现在用的晨风的那个,PE里面的软件有点老了,虽然功能挺多了,谁有类似的推荐个,要求启动菜单除了PE系统还有DOS工具箱和ghost的,先谢谢了!

回复自“手动xxSysAnti.exe和autorun.inf病毒”

  1. 没有任何引用。

发表回复

注意: 填写真实的邮件地址可以在他人回复您评论时收到邮件提醒。

郑重声明:资讯 【手动xxSysAnti.exe和autorun.inf病毒- 囧啊囧】由 发布,版权归原作者及其所在单位,其原创性以及文中陈述文字和内容未经(企业库qiyeku.com)证实,请读者仅作参考,并请自行核实相关内容。若本文有侵犯到您的版权, 请你提供相关证明及申请并与我们联系(qiyeku # qq.com)或【在线投诉】,我们审核后将会尽快处理。
—— 相关资讯 ——