Simonesysanti.exe和AUTORUN 网上什么时候有的这种病毒的?
的有关信息介绍如下:
AUTORUN 很老了。。。自动运行病毒 sysanti.exe和autorun.inf病毒处理 sysanti.exe发作后 无法打开任何杀毒软件 因为病毒会自动检测运行项里的关键字 如在IE中输入sysanti.exe 杀毒 专杀工具 等关键字 和运行电脑里面的杀毒软件瑞星 360 金山 卡巴斯基 等就会强行关闭这些项 如你重启电脑后 explorer.exe无法运行(被病毒破坏) 桌面上没有任何图标 只有一张壁纸了! sysanti.exe病毒 SysAnti.exe运行后,释放病毒文件SysAnti.exe和autorun.inf到硬盘各个分区根目录以 及连接到中招电脑上的移动存贮介质的根目录。接下来,首先在%windows%\Fonts目录释 放并加载运行一个随机字母名的病毒.dll。此dll运行后,即刻关闭IceSword、 autoruns 、sreng等常用手工杀毒辅助工具并在注册表中添加IFEO劫持项,破坏多种杀软和防火墙 加载运行。另:此毒释放多个病毒.dll 到%system%目录和%windows%\Fonts目录;释放病 毒文件.fon、.ttf到%windows%\Fonts目录。释放病毒驱动.sys到系统驱动目录并改写一 个正常的系统驱动程序.sys;替换系统程序userinit.exe。此毒感染系统文件以外的所有 .exe文件。 这个病毒的反删除招数就是把自己的程序注入进程svchost.exe中,从而隐藏自己,从表 面上看它调用explorer.exe 。 在注册表中的 Run 中的ctfmon.exe是在后台自动运行, 病毒(install病毒在ctfmon.exe中值的名字)就在其中。 处理办法(建议断网杀毒,因为病毒会联网下载更新,非常人性化哦) 首先删除 一。如果桌面上的图标还显示的话,只能运行360顽固木马专杀工具(如果你电脑上装了 “360顽固木马专杀工具 http://www.360.cn/killer/360compkill.html ”,其他杀毒软件被病毒屏蔽了;如果电脑上没有此工具,用U盘传一个,但用完后u盘也务必杀毒) 这时可以查出很多后生成的木马文件,先删除他们。 不想让病毒再次释放和加载的话,则要通过删除注册表中的启动项 1.因此 要想从容删除 就得先终止进程svchost.exe 但svchost.exe进程数目很多 不能随便终止 一般 当按映像名称排序(就是鼠标单击其标 签) 按a-z顺序 最下面那个就是被病毒利用的进程 结束之 好了 可以到各目录下删除了 小心别把它再激活了 务必干净(包括autoarun.inf文件, 友情提示:系统盘\Program Files\Common Fiiles下面也有sysanti.exe文件,别忘了清 理IE临时文件) 此外该病毒可能还有其它附件 手动删除之后 最好用杀毒软件查杀(现在就可以用电脑中 的杀毒软件了) 2.删除注册表中的Run 中ctfmon.exe项的其他值 install(病毒在ctfmon.exe项中的值的名字)就在其中 马上删除它 只保留C:\WINDOWS\system32\ctfmon.exe 防止病毒再次释放和加载 3.进DOS中查看个盘的所用文件,输入dir /a 查看是否有sysanti.exe 和autorun.inf 如果有的话 再次del 4.重启计算机进入安全模式再来个全盘杀毒 5.最后修复被损坏的一些系统文件,如COMRes.dll的修复。 此毒的软肋是%windows%\Fonts目录那个随机文件名的.dll。如能阻止此dll释放/加载, 这个SysAnti.exe基本就是个死东西。 二。如果你的桌面已经是一片空白了 就只有ctrl + alt + del 调出任务管理器 在新建任务里面运行360顽固木马专杀工具 还有个简单易操作的方法 全盘格式化 再重新装系统 友情提示:一键GHOST是没有用的,病毒在D E F G盘是有备份的啊,只要进入任意的D E F G盘,病毒会再次发作。 中毒过的电脑用起来感觉就是不舒服
