最近,江民反病毒中心監測到,一種采用“映像劫持”技術的病毒正在互聯網上大肆流竄,該病毒主要特征為:病毒運行後,會產生一個由數字和字母隨機組成的8位名稱的病毒進程,並且嘗試關閉多款殺毒軟件、防火牆和安全工具進程,使殺毒操作及其困難。而且該病毒還會在每個硬盤分區根目錄下生成Autorun.inf和隨機8位的EXE,達到雙擊硬盤激活病毒,此外,該病毒還會通過U盤,MP3,移動硬盤等移動儲存傳播,這樣就大大增加了病毒的傳播速度。
江民反病毒專家建議,日常操作電腦時請注意以下幾點防范措施:
1. 保管好自己的U盤,MP3,移動硬盤等移動儲存的使用,當外來U盤接入電腦時,請先不要急於雙擊打開,一定要先經過殺毒處理,建議采用具有U盤病毒免疫功能的殺毒軟件,如KV2007 獨有的U盤盾技術,可以免疫所有U盤病毒通過雙擊U盤時運行。
2. 給系統打好補丁程序,尤其是MS06-014和MS07-17這兩個補丁,目前絕大部分的網頁木馬都是通過這兩個漏洞入侵到計算機裡面的。
3. 即時更新殺毒軟件病毒庫,做到定時升級,定時殺毒。
4. 安裝軟件要到正規網站下載,避免軟件安裝包被捆綁進木馬病毒。
對於未安裝殺毒軟件或者殺毒軟件失效的情況下,建議使用以下辦法手動清除:
1. 請先到網上下載IceSword工具,並將該工具該名,如改成abc.exe 名稱,這樣就可以突破病毒進程對該工具的屏蔽。然後雙擊打開IceSword工具,結束一個8位數字的EXE文件的進程,有時可能無該進程。
2. 利用IceSword的文件管理功能,展開到C:Program FilesCommon FilesMicrosoft SharedMSINFO下,刪除2個8位隨機數字的文件,其擴展名分別為:dat 和 dll 。再到%windir%help目錄下,刪除同名的.hlp或者同名的.chm文件,該文件為系統幫助文件圖標。
3. 然後到各個硬盤根目錄下面刪除Autorun.inf 文件和可疑的8位數字文件,注意,不要直接雙擊打開各個硬盤分區,而應該利用Windows資源管理器左邊的樹狀目錄來浏覽。有時電腦中毒後可能無法察看隱藏文件,這時可以利用WinRar軟件的文件管理功能來浏覽文件和進行刪除操作。
4、利用IceSword的注冊表管理功能,展開注冊表項到:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options]
刪除裡面的IFEO劫持項。
此時就可以安裝或打開殺毒軟件了,然後升級殺毒軟件到最新的病毒庫,全盤殺毒。