GIF病毒特点以及处理办法.docVIP

/13/86_129085.htmlGIF 病毒特点以及处理办法中毒后的特征：一、任务管理器中有一些伪装的gif文件，如12.gif；23.gif；27.gif等，一般是12位数数字的文件名，也有英文名称，如kk.gif等，这些进程有时会自己终止进程，立即启动其他GIF病毒进程，只能眼看着任务管理器进程栏中许多gif病毒忽隐忽现，变来变去，此时任务管理器基本派不上用场；二、浏览器出现异常，系统可能会频繁地自动重启。MSCONFIG.EXE启动后不能正常使用，进程中能发现MSCONFIG.EXE。三、杀毒软件不能正常杀毒。病毒所在的目录：C:Documents and SettingsAdministratorLocal SettingsTempC:Documents and SettingsAdministratorLocal SettingsTemporary Internet FilesC:Documents and SettingsNetworkServiceC:WINDOWSsystem32其中C:表示系统盘所在分区，如果系统装在D盘，则用D：代替C：；Administrator表示当前登陆系统所用的帐户，如果使用其他帐户登陆系统，就用其他帐户名代替Administrator；病毒程序的特征：Temp目录下的病毒其后缀为gif和bat，很多病毒的文件名形式为12.gif.bat ，看上去既包含gif后缀又包含bat后缀，其实只有bat才是真实的后缀 ；system32目录下的病毒程序是exe可执行文件类型，比如explorer.exe 、 explore.exe等，酷似浏览器explorer.exe的文件名，不过大小不一样，图标也不一样，跟windows根目录下的浏览器程序比较一下大小和日期等属性就能识别。也可能是其他名字，同样从程序属性中的修改日期可以识别。我个人觉得GIF病毒跟explorer病毒有一定关系。这种病毒破坏性不大，不过清理起来还是有点麻烦，它会自动下载病毒到IE缓存目录，因此需要控制它的传播路径，特别是临时目录和IE缓存目录，才能取得理想的效果。处理方法：一、修改资源管理器中“文件夹选项”“查看”下面的设置，显示所有文件夹，包括系统文件和文件夹，不要隐藏已知文件类型的扩展名。这样设置后，还不一定能看到隐藏的病毒，最好使用winrar解压缩软件做浏览器，找出病毒；二、进入病毒所在目录： 先删除bat后缀的病毒，再删除gif文件。如果没有删掉bat文件，可能无法删除gif文件。 Temp目录和Temporary Internet Files目录里面的文件可以全部删除，NetworkService里面的文件特别是exe可执行文件和bat批处理文件全部删除；三、System目录里面，找出修改日期在最近几天之内的exe可执行文件，删除。 方法：打开system目录，点击工具栏里面的“查看”按钮，点击“详细信息”，再点击“排列图标”，选“修改时间。这样能快速找出病毒，修改时间在最近几天之内的一般是病毒。四、如果不能删除，启动任务管理器，把那个程序的进程终止，然后删除，后缀为exe的此类型病毒都很容易用任务管理器终止进程（后缀为bat的病毒可以直接删除）。五、启动注册表，打开以下键项：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun在RUN键项右边窗口中，如果有msconfig.exe，explore.exe，explorer.exe等启动项，直接删除。比如：如果有C:WINDOWSsystem32explore.exe则直接删除；以下是正常项目，不需要处理：C:WINDOWSsystem32hkcmd.exeC:WINDOWSsystem32igfxtray.exeC:WINDOWSIMEimjp8_1IMJPMIG.EXE /Spoil /RemAdvDef /Migration32C:WINDOWSsystem32IMETINTLGNTTINTSETP.EXE /IMENameC:WINDOWSsystem32IMETINTLGNTTINTSETP.EXE /SYNCSOUNDMAN.EXECTFMON.EXE如果杀毒软件的实时监控不能启动，可以在这里加入杀毒软件监控程序的文件名和路径，比如：在RUN键项右边窗口中新建字符串值，名称为RavMon，数值数据为：C:Program FilesrisingRavMon.exe/system ，加上/system参数可以让程序以系统进程方式自启动。六、最好使用组策略中的软件路径规则防止病毒从temp目录、Temporary Internet Files目录以及NetworkService目录里面启动；并且用散列规则阻止病毒从system32目录里面启动（在删除病毒前操作）。也可以在删除病毒后，随便用记事本编写几个文档，然后改成病毒文件的名字（后缀也改成一样）并设置属性为只读，这样真的病毒就无法进入system32这个目录了。七、经过以上操作并不能保证病毒已经全部清除，需要重启系统，启动杀毒软件全盘杀毒（最好断开网络）。如果杀毒软件仍然不能启动，可能需要修复（比较难）。也可能是系统目录下多出几个dll文件，一般是最近两天内新增加的DLL文件，把那个文件的后缀.dll改成 .dll_ 等就可以让它失效。为了防止误操作，这里尽量不要删除dll文件，如果发