基本介紹
清除方法
1、首先打開系統每個盤符找到sysanti.exe和autorun.inf這2個隱藏的檔案,即在資料夾選項里不要勾選隱藏系統檔案和顯示所有檔案。並同時去掉隱藏已知檔案後綴名。在桌面先新建一資料夾,名稱改為這二個相同,設為唯讀,刪掉各盤符下的這二個檔案立即用我們新建的同名資料夾替換,成功解決盤符根目錄下的這二個該死檔案。
2、然後搜尋,在C:\Program Files\Common Files下找到sysanti.exe且無法刪除。在Common
Files目錄下面,自動生成的Sysanti.exe
又回來了!(後來發現,那個木馬是依附在Explorer.exe裡面,即使在安全模式,你也沒有運行它,所以,木馬也就複製重生了!)
。習慣性打開任務管理器,發現一個SVCHOST.EXE的進程沒有調用它的進程(就是它跟其他同名進程不是在同一個分支下),把它結束掉了,再去刪SysAnti.exe,成功了。
原理,其實 這個病毒的反刪除招數就是把自己的程式注入進程svchost.exe中 ,從而隱藏自己 。從表面上看它調用explorer.exe
因此,你即便進入安全模式一樣會觸發, 要想刪除它得先終止進程svchost.exe 但svchost.exe進程數目很多,不能隨便終止
,一般情況下,當按映像名稱排序(就是滑鼠單擊其標籤) 按a-z順序 最下面那個就是被病毒利用的進程。
確定刪掉了所有的SysAnti和Autorun檔案後,啟動註冊表編輯器(regedit)Ctrl+F 查找所有有關 SysAnti的鍵值,統統刪除。
