最近我上网以后系统运转就特意缓慢,请好友帮我审核后得悉,应该是有少量数据在后盾下载形成的。好友倡导我杀毒,可启动杀毒软件没有任何反响,这时好友通知我上安保论坛求助试试。上网后,阅读器自动关上了谷歌首页,好友说这种现象不对头,果真我进入安保论坛后窗口马上被封锁。请问医生,这究竟是怎样回事?我的系统中了什么病毒?是我修正你的首页SSDT中文名词是“系统服务形容符表”。少量的安保工具都是经过它在系统外部扭转程序的运转规定,从而使程序出现可疑行为时,安保软件会对用户启动正告。嘻嘻,我坦率,是我干的!记住我的名字:大水牛下载者。我是一款联合了木马、流氓软件特点的下载病毒。当我经过网页木马等模式进入到用户系统以后,首先会在系统目录监禁出多个病毒文件,并且在一切的驱动器下创立Autorun.inf 和Nwizs.exe,从而让用户双击磁盘就中招。接着,我的主文件Nwizs.exe会修正系统注册表,减少到启动项外面,从而成功开机后随机启动,并且用户无法看到病毒文件和相应的注册表键值。另外,Nwizs.exe还会启动IFEO 映像劫持、破坏注册表暗藏键值、定时轻轻地弹出窗口,并且还设置IE阅读器起始页,自动设置的是谷歌的首页。而后,我会创立两个Svchost.exe进程来运转自己。因为在反常系统中会同时存在多个Svchost.exe进程,这样就具备很强的蛊惑性,个别用户无法判别该中断哪个进程。在系统的暂时目录外面,还会监禁一个5 位字符组成的随机名的.tmp 文件,应用它来交流加载的%SystemRoot%\system32\drivers\Beep.Sys。这样就可以在无系统揭示的状况下,轻轻笼罩系统的SSDT表,从而让系统中具备被动进攻的杀毒软件失效。最后,我会拔出到进程Iexplore.exe中,查找并封锁杀毒软件的进程。同时封锁带无主要字的窗口,主要字包含金山毒霸、江民等。入侵优惠启动得差不多了,我就会从网络中下载其余病毒。看我庖丁解“牛”我来了!有我在,大水牛病毒你还能猖狂?看我如何把你解剖了。第一步:首先断开计算机网络,截断病毒和外界衔接的路径。关上命令揭示符窗口,输入命令:Nwizs.exe -clear(见图)。该命令可以让病毒的自我包全性能立刻隐没,这样为前面的肃清铺平了路线。大概等上一分钟就可以了,而后启动SREng,点击SREng主窗口“启动名目”按钮,选中“注册表”标签删除那些白色的名目,这些都是被映像劫持的内容。
第二步:在开局菜单中的“运转”中输入Regedit,从而关上系统的注册表编辑器。依次倒退到HKEY_CURRENT_USER\Software\Microsoft\DsNiu\InjectDown V3.5-V,会在窗口中发现“”PID1“=”和“”PID2“=”两项内容,其中PID1和PID2区分对应伪造的Svchost.exe的PID。运转《冰刃》后点击工具栏中的“进程”按钮,区分完结PID1和PID2指向的两个Svchost.exe进程。第三步:从新启动系统,点击“文件夹选项”命令,选取其中的“显示暗藏文件或文件夹”和肃清“暗藏受包全的操作系统文件(介绍)”前面的钩。而后搜查System32目录中的Hook_nwizs.Dll和Nwizs.Exe文件,以及各个磁盘分区下的Nwizs.exe 和Autorun.inf文件,找到以后将它们删除就可以了。
rundll32.exe被删除了怎样办 老玉米:因为我的Windows XP系统中了病毒,有个病毒文件的名字是rundl132.exe,结果我在手动删除文件时不小心把系统文件rundll32.exe当成了病毒文件删除,造成有些程序打不开,也无法反常卸载,请问董徒弟我该怎样处置?董徒弟:这个很便捷,将你的Windows XP装置光盘放进光驱,单击“开局→运转”命令,输入“CMD”启动“命令揭示符”,在“命令揭示符”上输入“expand 光驱的盘符:\i386\rundll32.ex_ c:\WINDOWS\system32\rundll32.exe”并回车即可。此外,也可以从跟你的Windows XP同一版本、同一言语的电脑上复制rundll32.exe到system32目录下。
