马上注册,结交更多好友,享用更多功能。
您需要 登录 才可以下载或查看,没有帐号?注册
x
1、主要特征:桌面上出现几个删除不了的图标,名称有 淘宝网,淘宝导购,淘宝热卖,淘宝优惠区,高清影视,高清电影 等,其通过右键无法删除,使用工具删除清理后重复出现。
2、隐含特征:这是一个引导型病毒,病毒会在感染初期就修改PC系统的硬盘主引导模块[主MBR],这样它就先于Windows系统启动而进入内存,病毒有一部分存在于硬盘的空闲扇区中,当引导程序激活它以后,用户即使重新安装系统也会在第一次启动时就被重复感染,新装系统感染的特征为启动进程中有一个“nat.exe”程序,通过注册表HKLM_Run主键自启动,并标名为“Qq”。发现这一点的原因在于接修客户的机器原有F11一键还原系统,但其提示F11按键的MBR消失,并且能够感觉到在MBR引导的一瞬间,机器停了一下,很短很短的时间,完全凭感觉比较出来的,这个时刻应该是病毒从MBR中引导自身模块进入内存的过程。
3、感染机系统在空闲时进程中多出一些未知的程序,并且伪装成与系统类似的名称比如wupmgr.exe,svchost.exe[不好分别]。
4、感染机系统各分区根目录下,全部的目录及程序可能都被隐藏并出现伪装的替代同名程序,辨别方法是资源管理器显示详细信息,其目录图标伪装的程序,分类不是文件夹。
清除建议:
1、应首先重置硬盘的主引导记录MBR,使用光盘,U盘或移动硬盘启动,利用其所带磁盘工具,将主机的硬盘MBR还原为标准MBR。还原完不要启机进入系统防止重复感染。
2、立刻重装系统,或者重G系统,如果有还原备份的话,可以通过光盘、U盘、移动硬盘运行Ghost主程序来还原主机系统。
3、建议在WinPE工具环境下,整理主机各分区根目录,辨别删除病毒体伪装的文件,特征是其文件的生成时间都是同一时刻[也就是此机被感染时间],大小相同,图标为文件夹类似黄SE,名称为原目录名同名。
4、正确重新做好系统后,进入桌面不要查看我的电脑,或者资源管理器中的任何文件[病毒体可能在其它分区中易被激活],请在第一时间配置好上网程序,连网下载免费杀毒软件,比如可牛杀毒,或者360杀毒,静待下载及安装完成,并且通过其打全所有系统漏洞补丁。然后让杀毒软件查杀各分区,确保病毒被清除。
5、完成后,如果需要,建议更换杀毒为自己喜欢的杀毒软件程序。 |
IP卡
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
