中毒症状:
中了这个U盘病毒后,电脑的主要症状有:
1、每一个硬盘盘符下都出现了“音乐.exe”,如果原来有名为“音乐”的文件或文件夹则变成了隐藏文件;
2、IE浏览器首页被篡改为www.cnxhack.com,每次开机自动运行IE。同时Internet选项被禁用,IE窗口Internet Explorer后面添加了“西盟网络-中国最大网络安全门户”的宣传字样(本人觉得这一点特别讽刺~~ ),顺便说一句,IE7和IE6都会出现这样的情况,其他的IE马甲浏览器,比如傲游或者世界之窗等正常(原理稍后解释);
3、某些杀毒软件对这个病毒失效,一直提示隔离病毒,但无法完全查杀,比如Avast、咖啡,另外瑞*是发现不了这个毒的
4、系统硬盘无法正常打开,双击、右键全部自动打开IE首页,能打开的方法是是用资源管理器,然后跳到磁盘…;
5、系统经常出现error,显示某某进程指向的“000000xx”内存不能为“read”,然后自动停止正在运行的程序
6、安全模式下杀毒软件杀毒后重启继续发现病毒仍然顽强的留在那(汗...)
7、其他的症状暂时没有发现…(若有其他症状请跟帖回复,谢谢。。)
病毒分析:
1、中毒后打开“我的电脑”,勾选“工具-文件夹选项-查看-显示所有文件和文件夹”后发现在所有盘符下都多了三个文件,autorun.inf、snss.exe、音乐.exe。前两个是隐藏的,如果不显示所有文件和文件夹看到的只是“音乐.exe”。
2、打开任务管理器发现系统中有个snss.exe的进程,因为和盘符下隐藏的snss.exe一样,所以怀疑是这个进程在作怪,为了查明到底是不是,重启一次,发现开机后系统加载snss.exe进程,继而跳出IE的首页,也就是那个很讽刺的“西盟网络-中国最大网络安全门户”,就是它了,snss.exe,右键“打开该进程的位置”,发现这个进程在C:\Program Files里面,并且里面还有个autorun.inf,打开它,发现里面的内容就是定位到snss.exe并运行。坏蛋就是它了 !
3、这个U盘病毒还很无耻的修改了组策略中的浏览器用户界面,只要snss.exe这个进程在,首页就无法修改,并且还有Ineternet Explorer后面一长串无聊的什么最大的安全门户,因为是针对IE修改的,所以IE的马甲浏览器不受影响
清除病毒:
1、下载冰刃,查看进程,结束snss.exe这个进程
/Anti-virus/anti_virus_2292.html
使用XDELBOX或UNLOCKER删除C:\Program Files\autorun.inf以及C:\Program Files\snss.exe,XDELBOX需要勾选“清除并抑制文件再次生成”
3、删除C盘以外的盘符下的autorun.inf、snss.exe、音乐.exe,重启系统,大功告成。
4、重启后发现IE标题栏中的网页名还是“西盟网络-中国最大网络安全门户”,如何修改呢?首先关闭打开的IE浏览器,点击“开始→运行”,输入“gpedit.msc”,然后回车,即可启动组策略用户配置→Windows设置→Internet Explorer维护,双击“浏览器标题栏”策略,会弹出一个浏览器标题对话框,在此勾选“自定义标题栏”复选框,在下面的“标题栏文字”文本框中删除“西盟网络-中国最大网络安全门户”,点击“确定”就可以了。(如果嫌麻烦可以直接用超级兔子,里面有这个功能。)
autorun.inf是典型的U盘病毒,双击打开盘符就中毒了,所以请大家使用U盘时一定要小心,最好免疫一下,并且不要双击打开。
XDELBOX UNLOCKER 还有 冰刃的教程在最上面的连接有!
您的位置: