|
Win32.InjectEx.nb.7005
中文名:桌面感染者变种
病毒类型:蠕虫病毒
病毒长度:7005
影响系统:
Win9x,WinMe,Linux
简介:
被感染的文件会继续感染%Windows%下的Explorer.exe,并将正常的Explorer.exe拷贝到%Temp%目录下重命名为lorer.exe,感染后的Explorer.exe拷贝到%SystemRoot%dllcache
行为分析:
这是一个感染型文件。它会释放出病毒,继续感染其他文件。当用户运行被感染的文件时,病毒会调运正常的文件来,同时悄悄搜寻正常文件进行感染。
描述:
1.被感染的文件会继续感染%Windows%下的Explorer.exe,并将正常的Explorer.exe拷贝到%Temp%目录下重命名为lorer.exe,感染后的Explorer.exe拷贝到%SystemRoot%dllcache下;
2.感染后的文件公继续感染,正常文件入口的前5个字节指令被替换成病毒代码,跳转到病毒代码处执行;
3.病毒的代码分散在各个节的空闲处,由一张表指向每个病毒代码段的长度和大小,而后会分配一个全局堆,将病毒代码段统一解密拷贝进堆中,有部分指令需要解密,有意思的是解密的密钥为时间戳的低8位,最终的病毒代码是跳转到堆中执行的。
我的解决步骤和方法(一步步的在摸索中成功):
1.金山卫士,能查不能杀
2.avast,能杀不能抑制传播,于是就设置avast在开机前杀毒试试看
3.金山系统急救箱,能抑制传播,无法抑制病毒自动启动
4.出绝招了:记事本杀毒,用cmd输入“ftype exefile=notepad.exe %1”
5.第二绝招:右键每一个磁盘,然后属性,(分区属性设置窗口/配额/显示配额设置,)配额,启用配额管理,拒绝将磁盘空间给超过配额限制的用户,磁盘空间限制,1KB
6.重启,让avast开机前杀一次
7.avast,开机前杀毒,杀掉,无法扫尾
8.打开C:\WINDOWS\system32,找到cmd.exe,右击选择以管理员身份运行,输入“ftype exefile=%1 %*”,然后取消配额,之后打开其他软件
9.windows清理助手,可以扫尾,某些系统图标无法复原
10.usbcleaner,修复系统图标(修复后需重启explorer.exe)
11.windows清理助手、金山网盾、usbcleaner、金山清理专家、金山系统急救箱、avast,复查
12.再重启,一切正常! |
|
|
|
|
|
|