如何清除Nwizs.exe病毒|私募基金网生活频道
『simu001.cn』
最近我上网以后系统运行就特别缓慢,请朋友帮我检查后得知,应该是有大量数据在后台下载造成的。朋友建议我杀毒,可启动杀毒软件没有任何反应,这时朋友告诉我上安全论坛求助试试。上网后,浏览器默认打开了谷歌首页,朋友说这种现象不对头,果然我进入安全论坛后窗口马上被关闭。请问医生,这到底是怎么回事?我的系统中了什么病毒?『simu001.cn』
是我修改你的首页『simu001.cn』
SSDT中文名词是“系统服务描述符表”。大量的安全工具都是通过它在系统内部改变程序的运行规则,从而使程序出现可疑行为时,安全软件会对用户进行警告。『simu001.cn』
嘻嘻,我坦白,是我干的!记住我的名字:大水牛下载者。我是一款结合了木马、流氓软件特点的下载病毒。当我通过网页木马等方式进入到用户系统以后,首先会在系统目录释放出多个病毒文件,并且在所有的驱动器下创建Autorun.inf 和Nwizs.exe,从而让用户双击磁盘就中招。『simu001.cn』
接着,我的主文件Nwizs.exe会修改系统注册表,添加到启动项里面,从而实现开机后随机启动,并且用户无法看到病毒文件和相应的注册表键值。另外,Nwizs.exe还会进行IFEO 映像劫持、破坏注册表隐藏键值、定时悄悄地弹出窗口,并且还设置IE浏览器起始页,默认设置的是谷歌的首页。『simu001.cn』
然后,我会创建两个Svchost.exe进程来运行自己。由于在正常系统中会同时存在多个Svchost.exe进程,这样就具有很强的迷惑性,普通用户无法判断该终止哪个进程。在系统的临时目录里面,还会释放一个5 位字符组成的随机名的.tmp 文件,利用它来替换加载的%SystemRoot%\system32\drivers\Beep.Sys。这样就可以在无系统提示的情况下,悄悄覆盖系统的SSDT表,从而让系统中具有主动防御的杀毒软件失效。『simu001.cn』
最后,我会插入到进程Iexplore.exe中,查找并关闭杀毒软件的进程。同时关闭带有关键字的窗口,关键字包括金山毒霸、江民等。入侵活动进行得差不多了,我就会从网络中下载其他病毒。『simu001.cn』
看我庖丁解“牛”『simu001.cn』
我来了!有我在,大水牛病毒你还能猖狂?看我如何把你解剖了。『simu001.cn』
第一步:首先断开计算机网络,截断病毒和外界连接的途径。打开命令提示符窗口,输入命令:Nwizs.exe -clear(见图)。该命令可以让病毒的自我保护功能立刻消失,这样为后面的清除铺平了道路。大约等上一分钟就可以了,然后启动SREng,点击SREng主窗口“启动项目”按钮,选中“注册表”标签删除那些红色的项目,这些都是被映像劫持的内容。
第二步:在开始菜单中的“运行”中输入Regedit,从而打开系统的注册表编辑器。依次展开到HKEY_CURRENT_USER\Software\Microsoft\DsNiu\InjectDown V3.5-V,会在窗口中发现“”PID1“=”和“”PID2“=”两项内容,其中PID1和PID2分别对应伪造的Svchost.exe的PID。运行《冰刃》后点击工具栏中的“进程”按钮,分别结束PID1和PID2指向的两个Svchost.exe进程。『simu001.cn』
第三步:重新启动系统,点击“文件夹选项”命令,选取其中的“显示隐藏文件或文件夹”和清除“隐藏受保护的操作系统文件(推荐)”前面的钩。然后搜索System32目录中的Hook_nwizs.Dll和Nwizs.Exe文件,以及各个磁盘分区下的Nwizs.exe 和Autorun.inf文件,找到以后将它们删除就可以了。 『simu001.cn』
