这是我在我学校机房里找到的(机房真是个好地方,什么毒都有……),先来说说它有什么功能:
1、最流行的映像劫持;
2、冰刃等软件改名后可以运行,但只是闪一下就被挂了;
3、无视autorun疫苗,自动更改autorun.inf的文件夹名,以四个随机字母代替;
4、双进程保护,任务管理器可以打开,但当结束一个进程时,任务管理器自动关闭;
5、监视注册表中自动运行项,当试图更改或删除时注册表编辑器关闭;
6、使用winrar浏览各盘符根目录时自动关闭;
7、去除文件夹选项中的显示系统文件(病毒本身带有系统属性),可以看隐藏文件;
另外,我是在带有冰点还原的系统里试的,没有测试这个病毒是否禁用安全模式;这个病毒没有禁用更改注册表权限。
http://pickup.mofile.com/4719178389134318
下面说说我的解决办法:
因为病毒没有限制更改注册表权限,所以我先把映像劫持那个键的权限设为只能删除,然后删掉了所有的子键。之后运行冰刃,开始总是自动关闭了,很郁闷,但发现关闭之前冰刃会提示是否关闭(要不说冰刃好呢,这个设计很有用啊),于是有了一个想法,就是在运行后马上按N,成功了,冰刃顺利运行,看来病毒只是监视了是否创建进程。冰刃运行了,那病毒就任人宰割了,但还看不到它,我又在网上搜了一个显示系统文件的注册表文件,导入后就能显示系统文件了,先删掉本体,然后去除启动项。但我是在还原的状态下操作的,不知道重启后什么效果。
我觉个我这个解决办法比较投机,想看看大虾们有什么更好的办法,学习一下。
