爱华网SysAnti.exe发作后,无法打开任何杀毒软件,而且直接删除SysAnti.exe病毒文件也无法删除(删了又会出现),因为病毒会自动检测运行项里的关键字,如在IE、记事本或Word中输入或含有SysAnti.exe杀毒、专杀工具等关键字和运行电脑里面的杀毒软件瑞星、360、金山、卡巴斯基等就会强行关闭这些项。如你重启电脑后,explorer.exe无法运行(被病毒破坏),桌面上没有任何图标,只有一张壁纸了!
SysAnti.exe病毒(以及autorun.inf病毒)
该病毒的运行原理:
SysAnti.exe运行后,释放病毒文件SysAnti.exe和autorun.inf到硬盘各个分区根目录以及连接到中招电脑上的移动存贮介质的根目录。接下来,首先在%windows%Fonts目录释放并加载运行一个随机字母名的病毒.dll。此dll运行后,即刻关闭IceSword、autoruns、sreng等常用手工杀毒辅助工具并在注册表中添加IFEO劫持项,破坏多种杀软和防火墙加载运行。另:此毒释放多个病毒.dll到%system%目录和%windows%Fonts目录;释放病毒文件.fon、.ttf到%windows%Fonts目录。释放病毒驱动.sys到系统驱动目录并改写一个正常的系统驱动程序.sys;替换系统程序userinit.exe。此毒感染系统文件以外的所有.exe文件。这个病毒的反删除招数就是把自己的程序注入进程svchost.exe中,从而隐藏自己,从表面上看它调用explorer.exe。在注册表中的 Run中的ctfmon.exe是在后台自动运行,病毒(install病毒在ctfmon.exe中值的名字)就在其中。
处理办法(建议断网杀毒,因为病毒会联网下载更新,非常人性化)
★基本查杀法:
1. 结束“svchost.exe”进程。打开“任务管理器”→“进程”选项卡,找到“svchost.exe”进程。“svchost.exe”进程有很多个,按“映像名称”排序(就是鼠标单击其标签),按a-z顺序,最下面那个“svchost.exe”(该进程用户名一般为当前系统的用户名)就是被病毒利用的进程,结束该进程。
2.删除SysAnti.exe和autorun.inf病毒。(1)打开压缩软件WinRAR(该软件可以看到所有隐藏的文件),分别浏览电脑上的分区(C、D、E、F...盘以及U盘),在盘符下面找到SysAnti.exe和autorun.inf病毒文件,右击该文件删除即可。(2)利用压缩软件WinRAR,打开系统盘ProgramFilesCommonFiiles文件夹将里面的SysAnti.exe病毒文件删除。(友情提示:删除病毒文件之后,还要清理IE临时文件。)
3.用杀毒软件杀毒。利用以上方法将SysAnti.exe和autorun.inf病毒文件删除后即可利用杀毒软件(360、卡巴斯基、诺顿、瑞星等都可以)杀毒了,用最新升级的杀毒软件对电脑进行全盘病毒查杀(包括U盘)即完全将查杀SysAnti.exe和autorun.inf病毒了。
★彻底查杀法:
首先删除
一、如果桌面上的图标还显示的话,只能运行360顽固木马专杀工具(如果你电脑上装了“360顽固木马专杀工具http://www.360.cn/killer/360compkill.html”,其他杀毒软件被病毒屏蔽了;如果电脑上没有此工具,用U盘传一个,但用完后u盘也务必杀毒)这时可以查出很多后生成的木马文件,先删除他们。不想让病毒再次释放和加载的话,则要通过删除注册表中的启动项。
1.因此要想从容删除,就得先终止进程svchost.exe。打开“任务管理器”→“进程”选项卡,找到“svchost.exe”进程。但svchost.exe进程数目很多,不能随便终止。一般,当按映像名称排序(就是鼠标单击其标签),按a-z顺序,最下面那个就是被病毒利用的进程,结束该进程(该进程用户名一般为当前系统用户名)。之后,可以到各目录下删除SysAnti.exe病毒了(小心别把它再激活了)。务必删除干净(包括autoarun.inf文件)。(友情提示:系统盘ProgramFilesCommonFiiles下面也有sysanti.exe文件,也把它删除了,还有别忘了清理IE临时文件。)
此外,该病毒可能还有其它附件,手动删除之后最好用杀毒软件查杀(现在就可以用电脑中的杀毒软件了)。
2.删除注册表中的Run中ctfmon.exe项的其他值install(病毒在ctfmon.exe项中的值的名字)就在其中,马上删除它,只保留C:WINDOWSsystem32ctfmon.exe,防止病毒再次释放和加载。
3.进DOS中查看个盘的所用文件,输入dir/a查看是否有SysAnti.exe 和autorun.inf。如果有的话,再次del。
4.重启计算机进入安全模式再来个全盘杀毒。
5.最后修复被损坏的一些系统文件,如COMRes.dll的修复。
此病毒的软肋是%windows%Fonts目录那个随机文件名的.dll。如能阻止此dll释放/加载,这个SysAnti.exe基本就是个死东西。
二、如果你的桌面已经是一片空白了,就只有ctrl+alt+del调出任务管理器,在新建任务里面运行360顽固木马专杀工具。
★简易操作法
全盘格式化,再重新装系统。
友情提示:一键GHOST是没有用的,病毒在D、E、F、G盘是有备份,只要进入任意的D、E、F、G盘,病毒会再次发作。中了毒的电脑用起来感觉就是不舒服。
(以上的内容仅供参考,如有不全的地方请谅解)
2010.03
