自动关闭杀毒软件,自动关闭杀毒网页的解决方法

减小字体 增大字体 作者:佚名  来源:本站整理  发布时间:2010-4-18 10:41:53
会自动关闭含有“杀毒”“瑞星”等字符病毒专杀的正文部分

中毒症状:
一打入瑞星2字 IE就会自动关闭……
用baidu等搜索“杀毒”字样,所有网页会直接跳掉……

病毒行为:
==================================================
1、病毒是一个8位随机数组成的(0—F),其实是本身机子的机器码。运行后释放同名的Dll文件,设置系统全局挂勾。后枚举进程,插入TIMPlatform.exe和Explorer.exe进程(如果有)
Dll的文件在C:\Program Files\Common Files\MicrosoftShared\MSInfo\下,目录下还有个同名的dat文件```

2、插入进程的随机8位数.dll检测窗口句柄,并关闭列入病毒名单的“关键字”一些冷门的工具也不放过`````

3、修改IFEO重定向劫持,指向的是:C:\Program Files\Common Files\MicrosoftShared\MSInfo\的Dat文件。

4、破坏安全模式和显示隐藏文件,达到自身防护的目的。

5、释放一个Dl1.exe,创建远程线程并调用IE下载木马,下载其他病毒文件。

6、(遍历)每个分区,在根目录下生成Autorun.inf和随机8位的EXE,达到双击硬盘激活病毒。
Autorun.inf内容为:
[AutoRun]
open=随机8位数.exe
shell\open=打开(&O)
shell\open\Command=随机8位数.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=随机8位数.exe

7、依附宿主的随机8位Dll每隔一段时间刷新,检测自身释放的“同党”和修改的注册表项,如果被修改和删除的话即使其恢复。并监视移动介质盘插入,支持U盘传播

8、修改安全工具(杀软)服务和驱动的启动类型,设置为禁用,并删除其RUN启项,最后还挂了系统自带的防火墙

9、用安全工具(如果能打开)检测宿主模块时,那么它则卸掉自身,安全工具退出(关闭)时,重新注入。

10、"病毒版本":在C:\Program Files和C:\WINNT\system32\DirectX,释放一个.ini的文本,里面生成病毒的版本``如:生成的是525,也就是5.25日更新的版本。

11、局域ARP挂马````比较“旁门”的技术(开始有点佩服作者)由外部下载的病毒ycnt9.exe,释放的win1ogo.exe,由它监听局域,每5秒刷新从自身机子(被感染的)经过的ARP数据包,并插入一短Js代码,嗅探范围:192.168.0.1 -192.168.0.254,这意味着经过该被感染机子的数据包返回时,是一段被挂马的数据包!!!说简单点就是你浏览的所有网页上都有病毒。后来我点 入该网址,是个MD5一样的8位随机病毒,呵呵,病毒名字为“hello.exe”。
这可比访问局域穷举猜口令轻松多了,这也是我佩服作者的地方。

12、常驻进程的随机8位数.dll每毫秒刷新,尝试拦截FindWindowExA、mouse_event等信息函数,修改映像命令,发送“假情报”`````向瑞星注册表监控捕捉发送“允许”命令`(不经过用户操作)``

【解决方法】
看清了以上的原由后,就有合理的思路啦。

其实思路就是去dos解决它。
进入dos后,由于各分区都有这个病毒,就用edit命令编了个小的批处理文件,把它们一次过删掉。
此处要注意的是,因为病毒文件是系统属性、隐藏属性,再加上在windows中根本没法用正常方法看清其面目(就算用winrar也看不到,它反应很快),所以你只能在dos下看清楚了。。要做的是,先用attrib命令将各区根目录下的属性全部改为A,命令是: attrib -s -h -r *.* 。这样才能用批处理删的掉。

然后进入以下目录去清理:(F2104F30.exe只是我的电脑中毒名字,换成你们电脑中的名字就是啦)

c:\windows\F2104F30.hlp   44(左右)
c:\WINDOWS\Help\F2104F30.chm   36,659(左右)
c:\Documents and Settings\Admin\Local Settings\Temp\F2104F30.exe   36,659(左右)
                                                                                                  还有个DL1.exe,记住啊!
c:\Program Files\Common Files\Microsoft Shared\MSInfo\F2104F30.dll   47,923(左右)
c:\Program Files\Common Files\Microsoft Shared\MSInfo\F2104F30.dat   36,659(左右)
其它所有分区:\autorun.inf   172(左右)
其它所有分区:\F2104F30.exe   36,659(左右)

清理完后重启。

进了windows之后,稳妥起见,打开所有分区和文件夹都用——右键——打开    的模式。。如果你有分区是NTFS格式的,这时就可以利用winrar的浏览功能,查找到此分区根目录下的病毒文件了,在winrar里将其一一删除就是。。

最后嘛,就是去注册表了啊,把所有找到的跟F2104F30有关的键值去掉,就ok啦。。。


纯手动杀毒,步骤稍微繁琐点。呵呵呵呵。

天津上门维修电脑