关闭瑞星的“IE执行保护”就可以了
IE执行保护
为防止木马、流氓软件等恶意程序在您使用浏览器上网时,利用浏览器的漏洞自动执行并对系统造成破坏,瑞星杀毒软件新增了IE执行保护功能。
当有可疑程序试图通过浏览器自动执行时,瑞星杀毒软件会弹出提示对话框,显示程序相关信息并询问对此程序的处理方式。您可以通过选择【拒绝执行】阻止恶意程序自动执行,也可以通过选择【允许执行】放行正常的程序。
若要在以后此程序试图自动执行时不再弹出此提示对话框,并采用同样的处理方式,可以勾选【对该程序采用相同的处理方式,不再提醒】。同时,此程序将被自动加入到IE保护黑白名单中。
编辑IE保护黑白名单
在系统托盘中,右键单击瑞星杀毒软件图标,在右键菜单中选择【IE保护黑白名单】,打开IE保护黑白名单对话框。
IE执行白名单:名单中的文件将被允许通过浏览器执行。如果希望执行时询问用户,可以从列表中删除项目。
IE执行黑名单:名单中的文件将不允许通过浏览器执行。如果希望执行时询问用户,可以从列表中删除项目。
或者:
用360安全卫士v3.6查杀
启动之后----全面诊断--常规--清除恶评及插件
高级--启动项管理--ctfmon之外禁用--查杀木马
--最后高级修复IE--清理完必之后重启。
重启之后症状一样就进安全模式重复以上操作!
360安全卫士 3.6.4.1001简体中文绿色测试版
http://ishare.iask.sina.com.cn/cgi-bin/fileid.cgi?fileid=2445832 360安全卫士 V3.6 正式版
http://ishare.iask.sina.com.cn/cgi-bin/fileid.cgi?fileid=2282577 一个360 并不能完全解决此类问题
流氓软件清理工具绿色版合集
http://ishare.iask.sina.com.cn/cgi-bin/fileid.cgi?fileid=2191317 Wopti 流氓软件清除大师 V1.8.7.0815_绿色版_10-31流氓软件特征库.
http://ishare.iask.sina.com.cn/cgi-bin/fileid.cgi?fileid=2566181 arswp恶意软件清理助手
(扫杀系统里驱动级保护病毒效果较好)
http://ishare.iask.sina.com.cn/cgi-bin/fileid.cgi?fileid=2513513 http://ishare.iask.sina.com.cn/cgi-bin/fileid.cgi?fileid=2464711经查,这是木马利用了瑞星的ie保护黑白名单功能的漏洞使用用户中招。
此病毒最近十分流行,究其原因就是大家不注意类似通过U盘传播的病毒的防护,拿来U盘(移动存储)设备就双击,导致病毒十分容易的通过U盘传播。
另一个传播方式就是打开网页时弹出ActiveX插件安装的对话框,你点是,基本就中招了。
此病毒的元凶为auto.exe 他是一个木马下载器。通过U盘等移动存储传播到你的电脑中以后,在%system32%下面生成一个随机8个字母和数字组合成的exe文件
并同时生成随机8个字母和数字组合的dll,由winlogon控制插入几乎所有进程
以上文件注册成一个服务,服务名为随机8位字母和数字组合的名称
并在每个磁盘的根目录下生成一个auto.exe和autorun.inf
查杀方法:
一.清除病毒主程序(随机8位字母和数字组合的exe和dll)
必须首先清除auto.exe和其生成的随机8位字母和数字组合的exe和dll,因为他是木马群的万恶之源!!
1.首先下载sreng这个软件(官方下载地址:
http://www.kztechs.com/sreng/sreng2.zip)
解压缩后运行srengps.exe
依次点击“启动项目”-“服务”-“Win32服务应用程序” 之后勾选“隐藏经认证的微软项目”
等待列表出来之后 查找那种不规则的随机8位字母(大写)和数字组合的服务
然后选中下面的 “删除服务” 并单击设置按钮
在弹出的框中点“否”
2.重启计算机进入安全模式下
把下面的代码拷入记事本中然后另存为chyx.reg文件
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
双击chyx.reg把这个注册表项导入
双击我的电脑--工具--文件夹选项--查看--单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
点击 菜单栏下方的 文件夹按钮(搜索右边的按钮)
删除如下文件
C:\auto.exe
C:\autorun.inf
以及每个分区下面的auto.exe和autorun.inf
%system32%文件夹下的随机8个字母和数字组合的exe和dll
即本例中的C:\WINDOWS\system32\E2050308.DLL
C:\WINDOWS\system32\F2F187EC.EXE
至此病毒主程序已经被删除了,接下来清除其下载的木马
二.清除病毒下载的木马(由于每个变种下载的木马不尽相同,因此本例仅供参考)
还是在安全模式下
打开sreng
启动项目 注册表 删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<mppds><C:\WINDOWS\mppds.exe> []
<Kvsc3><C:\WINDOWS\Kvsc3.exe> []
<DiskMan32><C:\WINDOWS\kterzx.exe> []
<WinForm><C:\WINDOWS\WinForm.exe> []
<AVPSrv><C:\WINDOWS\AVPSrv.exe> []
<MsIMMs32><C:\WINDOWS\MsIMMs32.exe> []
<cmdbcs><C:\WINDOWS\cmdbcs.exe> []
<DbgHlp32><C:\WINDOWS\DbgHlp32.exe> []
<upxdnd><C:\WINDOWS\upxdnd.exe> []
<NVDispDrv><C:\WINDOWS\kterzx.exe> []
<msccrt><C:\WINDOWS\msccrt.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<MSDWG32><LYLoadbr.exe> [N/A]
<MSDCG32 ><LYLeador.exe> [N/A]
<MSDOG32><LYLoador.exe> [N/A]
<MSDSG32><LYLoadar.exe> [N/A]
<MSDMG32><LYLoadmr.exe> [N/A]
<MSDHG32><LYLoadhr.exe> [N/A]
<MSDQG32><LYLoadqr.exe> [N/A]
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
点击 菜单栏下方的 文件夹按钮(搜索右边的按钮)
在左边的资源管理器中打开C盘(系统盘)
删除如下文件
C:\WINDOWS\mppds.exe
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\kterzx.exe
C:\WINDOWS\WinForm.exe
C:\WINDOWS\AVPSrv.exe
C:\WINDOWS\MsIMMs32.exe
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\DbgHlp32.exe
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\kterzx.exe
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\AVPSrv.dll
C:\WINDOWS\system32\DiskMan32.dll
C:\WINDOWS\system32\NVDispDrv.dll
C:\WINDOWS\system32\MsIMMs32.dll
C:\WINDOWS\system32\WinForm.dll
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\DbgHlp32.dll
C:\WINDOWS\system32\Kvsc3.dll
最后需要修复或者重装瑞星杀毒软件,并一定修改你的网络游戏密码。
参考资料:http://zhidao.baidu.com/question/42188564.html?fr=qrl