磁碟机解决方案 磁碟机专杀工具
其他进程则创建一个线程,该线程每隔2秒进行以下操作:
1.修改以下键值使得用户无法看到隐藏的受保护的系统文件 HKEY_CURRENT_USERSoftware\Microsoft\Windows\CurrentVersion\Explorer\Advanced ShowSuperHidden = 0 2.删除以下注册表键值使得用户无法进入安全模式 HKEY_LOCAL_MACHINE SYSTEM\ControlSet001\Control\SafeBoot\Minimal\ {4D36E967-E325-11CE-BFC1-08002BE10318} HKEY_LOCAL_MACHINE SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ {4D36E967-E325-11CE-BFC1-08002BE10318} HKEY_LOCAL_MACHINE SYSTEM\ControlSet001\Control\SafeBoot\Network\ {4D36E967-E325-11CE-BFC1-08002BE10318} HKEY_LOCAL_MACHINE SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ {4D36E967-E325-11CE-BFC1-08002BE10318} 3.删除以下注册表项,使得镜像劫持失效 HKEY_LOCAL_MACHINE SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Image File Execution Options 4.读取以下注册表键值,判断当前系统是否允许移动设备自动运行,如果不允许则修改为允许 HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Policies\Explorer NoDriveTypeAutoRun 5.修改以下注册表项使得手动修改以下键值无效 HKEY_LOCAL_MACHINE SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ Advanced\Folder\SuperHidden Type = radio 6.添加以下注册表项使得开机时,系统会把该动态库注到大部分进程中 HKEY_LOCAL_MACHINE SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Windows AppInit_DLLs = %SYSTEM%\dnsq.dll. 7.通过calcs命令启动病毒进程得到完全控制权限,使得其他进程无法访问该进程。 8.查找带以下关键字的窗口,如果找到则向其发消息将其退出: SREng 介绍、360safe、木、antivir、… netcfg.dll主要用来下载文件,动态库被加载后会从以下网址下载病毒程序 |