返回列表 回復 發帖

如何清除Nwizs.exe病毒

  最近我上網以後系統運行就特別緩慢,請朋友幫我檢查後得知,應該是有大量數據在後臺下載造成的。朋友建議我殺毒,可啟動殺毒軟體沒有任何反應,這時朋友告訴我上安全論壇求助試試。上網後,流覽器默認打開了穀歌首頁,朋友說這種現象不對頭,果然我進入安全論壇後窗口馬上被關閉。請問醫生,這到底是怎麼回事?我的系統中了什麼病毒?
是我修改你的首頁
  SSDT中文名詞是“系統服務描述符表”。大量的安全工具都是通過它在系統內部改變程式的運行規則,從而使程式出現可疑行為時,安全軟體會對用戶進行警告。
  嘻嘻,我坦白,是我幹的!記住我的名字:大水牛下載者。我是一款結合了木馬、流氓軟體特點的下載病毒。當我通過網頁木馬等方式進入到用戶系統以後,首先會在系統目錄釋放出多個病毒檔,並且在所有的驅動器下創建Autorun.inf 和Nwizs.exe,從而讓用戶雙擊磁片就中招。
  接著,我的主文件Nwizs.exe會修改系統註冊表,添加到啟動項裏面,從而實現開機後隨機啟動,並且用戶無法看到病毒檔和相應的註冊表鍵值。另外,Nwizs.exe還會進行IFEO 映像劫持、破壞註冊表隱藏鍵值、定時悄悄地彈出窗口,並且還設置IE流覽器起始頁,默認設置的是穀歌的首頁。
  然後,我會創建兩個Svchost.exe進程來運行自己。由於在正常系統中會同時存在多個Svchost.exe進程,這樣就具有很強的迷惑性,普通用戶無法判斷該終止哪個進程。在系統的臨時目錄裏面,還會釋放一個5 位字元組成的隨機名的.tmp 檔,利用它來替換加載的%SystemRoot%system32driversBeep.Sys。這樣就可以在無系統提示的情況下,悄悄覆蓋系統的SSDT表,從而讓系統中具有主動防禦的殺毒軟體失效。
  最後,我會插入到進程Iexplore.exe中,查找並關閉殺毒軟體的進程。同時關閉帶有關鍵字的窗口,關鍵字包括金山毒霸、江民等。入侵活動進行得差不多了,我就會從網路中下載其他病毒。
看我庖丁解“牛”
  我來了!有我在,大水牛病毒你還能倡狂?看我如何把你解剖了。
  第一步:首先斷開電腦網絡,截斷病毒和外界連接的途徑。打開命令提示符窗口,輸入命令:Nwizs.exe -clear(見圖)。該命令可以讓病毒的自我保護功能立刻消失,這樣為後面的清除鋪平了道路。大約等上一分鐘就可以了,然後啟動SREng,點擊SREng主窗口“啟動專案”按鈕,選中“註冊表”標籤刪除那些紅色的專案,這些都是被映像劫持的內容。

  第二步:在開始菜單中的“運行”中輸入Regedit,從而打開系統的註冊表編輯器。依次展開到HKEY_CURRENT_USERSoftwareMicrosoftDsNiuInjectDown V3.5-V,會在窗口中發現“”PID1“=”和“”PID2“=”兩項內容,其中PID1和PID2分別對應偽造的Svchost.exe的PID。運行《冰刃》後點擊工具欄中的“進程”按鈕,分別結束PID1和PID2指向的兩個Svchost.exe進程。
  第三步:重新啟動系統,點擊“檔夾選項”命令,選取其中的“顯示隱藏檔或檔夾”和清除“隱藏受保護的操作系統檔(推薦)”前面的鉤。然後搜索System32目錄中的Hook_nwizs.Dll和Nwizs.Exe檔,以及各個磁片分區下的Nwizs.exe 和Autorun.inf檔,找到以後將它們刪除就可以了。
返回列表