典型中毒表现

　　中病毒后，最容易被观察到的现象是弹出广告，任务管理器被禁用，杀毒软件不能正常启动，不能升级，浏览器主页被锁定为www.baidu.com

　　详细分析：

　　病毒全名：Worm.Downloader.cr.34304

　　病毒长度：34304

　　威胁级别：★★

　　病毒类型：蠕虫病毒

　　简介：

　　这是一个蠕虫病毒。该病毒运行后，会在各盘产生auto病毒。并在系统盘的多个目录下生成大量病毒文件。

　　而且病毒会通过映像劫持的方法，使得各安全软件无法使用。纂改文件隐藏功能。修改了浏览器主页，在打开浏览器时会自行下载病毒，并且弹出广告等行为。

　　病毒行为：

　　1.病毒运行后，产生以下病毒文件

　　%local settings%\temporary Internet Files\Content.IE5\EC5UKR17\tj[1].htm

　　%local settings%\temporary Internet Files\Content.IE5\GR8I0NOH\down[1].txt

　　%local settings%\temporary Internet Files\Content.IE5\YF9D3U1Z\tempA[1].exe

　　%Program Files%\Internet Explorer\PLUGINS\SysWin64.Jmp

　　%Program Files%\Internet Explorer\PLUGINS\WinSys64.Sys

　　在%windows%\Fonts下添加许多后缀为"fon"的文件

　　在%windows%\system32下添加许多后缀为"dll"和"exe"的病毒文件

　　在%temp%目录下同样产生病毒文件

　　2.在各盘目录下，会生成AUTO病毒，分别是niu.exe和autorun.inf。其中，autorun.inf所指向的病毒是niu.exe，当用户左键双击进入该盘时，病毒随之触发。

　　3.病毒运行后，任务管理器被屏蔽不可使用(如图)。

　　

[N/A]

　　2.还是使用sreng，修复任务管理器的正常使用。

　　步骤：系统修复-Windows Shell/IE，勾选“允许在Windows 2000/XP/Server 2003中使用任务管理器”，设置主页为"about:blank"

　　允许Internet Explorer选项窗口和选项窗口的所有内容，然后点击修复

　　3.sreng中系统修复-高级修复，修复安全模式

　　4.找一台未被感染病毒的与中毒电脑系统相同的电脑 导出未中毒电脑的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden整个键的内容，另存为一个扩展名为reg的文件，复制到带毒电脑上，双击导入。

　　三、清除病毒下载的木马

　　使用金山清理专家的文件粉碎器找到以下DLL文件，将其删除。

　　C:\WINDOWS\system32\kvmxdma.dll

　　C:\WINDOWS\system32\rsmycpm.dll

　　C:\WINDOWS\system32\kvdxcma.dll

　　C:\WINDOWS\system32\avwgcmn.dll

　　C:\WINDOWS\system32\ratbdpi.dll

　　C:\WINDOWS\system32\raqjapi.dll

　　C:\WINDOWS\system32\rsjzbpm.dll

　　C:\WINDOWS\system32\avzxdmn.dll

　　C:\WINDOWS\system32\kawdbzy.dll

　　C:\WINDOWS\system32\rarjbpi.dll

　　C:\WINDOWS\system32\mypern0.dll

　　2.打开sreng ，“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”，选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：Windows dvne RunThem / dvne

　　在“启动项目”-“服务”-“驱动程序”中点“隐藏经认证的微软项目”，选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：

　　acpidisk / acpidisk，系统修复，高级修复，重置winsock

　　3.重启计算机

　　双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定，删除如下文件

　　C:\WINDOWS\system32\drivers\svchost.exe

　　C:\WINDOWS\system32\msavp.dll

　　C:\WINDOWS\upxdnd.exe

　　C:\WINDOWS\system32\drivers\acpidisk.sys

　　c:\progra~1\yqiz文件夹

热门推荐：

经典：CSS应用常见问题大总结

网页设计中实用的制作技巧十三个

　　专杀解决方案:

　　该病毒的清除，是相对比较麻烦的，尽管如此，请您不要轻易格式化重装，因为病毒还会通过自动播放传播，重装后，很容易再中。

　　这个禽兽病毒的处理，和AV终结者病毒相似。我们需要在正常的电脑上下载AV终结者专杀，再COPY到本地计算机，运行专杀工具可修复被破坏的安全模式和映像劫持。然后，杀毒软件就可以正常使用了。

　　请点击这里下载AV终结者专杀

　　这时，再使用资源管理器浏览到金山毒霸的安装目录下（切记不要使用双击磁盘运行程序），执行uplive.exe升级金山毒霸。然后立即全盘杀毒，最后，使用金山清理专家，把病毒修改的注册表项全部修复。因为这个“禽兽”病毒还下载了很多其它病毒在IE缓存文件夹，建议，直接使用清理专家百宝箱中的垃圾文件清理，直接删除这些垃圾文件。

　　从这里下载金山清理专家

　　最后再次提醒大家一定要关闭电脑的自动播放功能，不要让此类恶性U盘病毒再如此肆意传播了！

　　

热门推荐：

经典：CSS应用常见问题大总结

网页设计中实用的制作技巧十三个

　　

【责任编辑 彭凡】