近段时间毒霸客服段段续续遇到杀毒软件相关程序被删除的用户咨询,这些用户尝试安装杀毒软件时,安装程序均立即被删除,Sreng重命名后运行也会被立即删除。
如此恶劣的病毒究竟做了什么、有什么共性、毒霸以及毒霸用户遇到后的对策是什么呢?
————本文主要针对这些广大用户关注的疑点作出解释。
病毒做了什么:
根据样本提取的情况看,该病毒将自身线程注入了多个进程并监视杀毒软件窗口以及sreng窗口。发现杀毒软件信息或者SReng作者的信息后便立即通过注入的病毒线程执行删除操作。
病毒共性:
就毒霸客服提取的病毒样本看,中此病毒的用户主机的QQ目录下普遍存在两个隐藏的dll文件,同时添加了自身的API HOOK。修改hosts文件联机下载病毒同时屏蔽杀软域名。
执行删除杀软操作的线程主文件的扩展名通常为非常用扩展名,如:rajsbkt.tcl、jwneriz.fwn、dmzir.hud等。
该主文件写入的随机启动注册表位置如下:
【HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad】
解决方案:
由于该 病毒删除屏蔽了目前几乎所有主流杀毒软件以及检测工具这一特性,所以大多数一般用户选择了重装系统。金山客服中心对此类病毒一直保持着极高的关注度,目前 已经提取到足够数量的病毒样本,并通过毒霸的更新对其免疫与查杀,并提供了手动处理方案。
优质高效率的病毒库更新,使得金山毒霸可以率先查杀此类病毒。
病毒尝试加载注入时毒霸监控会有如下提示信息:
使用毒霸扫描会有类似检测结果:
毒霸用户遇到后的对策:
毒霸客服一直以来以认真负责、求实高效的工作作风长期帮助大量毒霸用户解决了大量疑难病毒问题以及进行病毒样本的提取工作。有着丰富的病毒处理经验与良好的客服服务意识。如果毒霸正版付费用户遇到此类强势病毒无法处理时,请及时联系毒霸客服,毒霸客服电话010-82331816。
(注:为保证毒霸正版用户的权益,非毒霸用户可登录爱毒霸社区获得解决方案。)
如无法显示后缀名,请打开【我的电脑】-【工具】-【文件夹选项】-【查看】-取消勾选『隐藏已知文件类型的扩展名』,之后点击【确定】即可查看文件扩展名。如图所示: