病毒描述sysanti.exe病毒,中了这种病毒之后,当遇一电脑可正常打开网页,但只要一搜杀毒软件(赛门铁克除外)及它sysanti.exe本身IE即被立即屏蔽,就是机器上有杀毒软件的时候安装的时候也会自动弹出来退出的对话框。
所有盘符里面都有sysanti.exe和autorun.inf这2个隐藏的文件系统文件,删掉后1秒又再次重生,所有杀毒软件都打不开,IE上网搜索只要关于杀毒软件名称以及sysanti.exe的网站IE就被自动关闭,搜索360和USB专杀也被自动关闭,系统装了还原无法进入安全模式操作,且无法重启。
杀毒方法1、首先打开系统每个盘符找到sysanti.exe和autorun.inf这2个隐藏的文件,即在文件夹选项里不要勾选隐藏系统文件和显示所有文件。并同时去掉隐藏已知文件后缀名。在桌面先新建一文件夹,名称改为这二个相同,设为只读,删掉各盘符下的这二个文件立即用我们新建的同名文件夹替换,成功解决盘符根目录下的这二个该死文件。
2、然后搜索,在C:Program FilesCommon Files下找到sysanti.exe且无法删除。在Common
Files目录下面,自动生成的Sysanti.exe
又回来了!(后来发现,那个木马是依附在Explorer.exe里面,即使在安全模式,你也没有运行它,所以,木马也就复制重生了!)
。习惯性打开任务管理器,发现一个SVCHOST.EXE的进程没有调用它的进程(就是它跟其他同名进程不是在同一个分支下),把它结束掉了,再去删SysAnti.exe,成功了。
原理,其实 这个病毒的反删除招数就是把自己的程序注入进程svchost.exe中 ,从而隐藏自己 。从表面上看它调用explorer.exe
因此,你即便进入安全模式一样会触发, 要想删除它得先终止进程svchost.exe 但svchost.exe进程数目很多,不能随便终止
,一般情况下,当按映像名称排序(就是鼠标单击其标签) 按a-z顺序 最下面那个就是被病毒利用的进程。
3、至此,用IE能打开安全网站了,下载安全软件进行查杀即可,本人平时上的网站也全打开了。最后我下载了绿色蜘蛛进行自动查杀,手工只是第一步,没那个全方位的能力也不必要纯手工和病毒木马过不去吧。