|
中了灰色插图病毒怎么办?你是怎么中的呢?本文来告诉你如何清除灰色插图病毒,并根据实例来告诉大家如何预防这种病毒,先看看中毒的过程吧:MSN上的一个人发来照片,说是他国庆旅游照的,好奇就接收了。看了照片没有多久,机器就中毒了。现在杀毒软件不能用、任务管理器打不开、安全模式进不去,想去安全网站求救,连网站都打不开。最可恶的是,连关机按钮不见了。
这个问题肯定是MSN传来的照片有问题。病毒通过MSN,以照片共享的名义传播。为了得到病毒的详细信息,我从生病电脑上提取了样本送给化验科的Papa,经过他的分析后,得知该病毒就是国庆期间新出的病毒——“灰色插图”。分析报告如下所示:
分析报告1:该病毒在互联网上通过MSN传播,用户接收了含病毒的压缩包并解压后,会得到.scr图片文件和.exe病毒(图1)。
分析报告2:该病毒运行后,会释放主文件symlsry和autorun.inf文件到硬盘的每个分区和移动存储设备中,并能通过系统自动播放功能激活病毒。这样即使重装了系统,打开非系统盘的其他盘符,也会再次感染病毒。为了隐藏自己,该病毒将主文件保存在自己创建的属性为隐藏的回收站文件夹下,非常难发现。
分析报告3:该病毒会创建隐藏的进程(进程名是随机的),用来关闭安全软件及一些安全辅助工具。此外,通过修改HOSTS文件禁止用户登录安全网站,以阻拦用户通过网络获得安全厂商的技术援助。
分析报告4:该病毒会检测是否在虚拟机中运行,如果发现不是真实电脑会自动终止执行,以避免被人在虚拟机中查到蛛丝马迹。做完这些,该病毒就会修改注册表,导致关机按钮消失、无法进入安全模式等。
清除“灰色插图”病毒
知道病毒的底细,就好办了,我很快就找到了清除方法:
第一步:首先运行安全工具Wsyscheck。运行后切换到“进程管理”项,会发现其中有一个symlsry进程,选中该进程后点击右键选择“禁止选择的程序运行”(图2)。
第二步:再切换到“安全检查”中的“活动文件”功能,将此前进程中看到的病毒启动项“修复并删除”。此操作会将注册表中病毒信息以及病毒文件同时处理掉。再切换到“文件管理”,删除病毒的备份文件(图3),其中包括autorun.inf以及相同修改时间的RECYCLER文件夹。
第三步:进入系统分区下的windows\system32\dirvers\etc\目录,使用记事本程序打开HOSTS文件,将里面的内容完全清空后输入127.0.0.1 localhost即可(图4)。
最后重新安装杀毒软件并升级病毒库到最新版本,再进行全盘查杀,将病毒残留物彻底清除干净。
| 
