病毒安全知识,电脑网络技术,手工杀毒方法,答疑解决笔记

导航

« dnshlp.dllSASDIFSV.SYS / SASKUTIL.SYS »

怎样删除Win7 Anti-Spyware 2011

  在电脑报论坛看到求助,说是被安装了一个win7 anti-spyware 2011,界面类似微软反恶意软件的工具,然后提示用户中了“好些”病毒,不过要清除必须花钱购买它的杀毒软件,还会自己下载打开广告网页。到网上查了下,据说这个win7 anti-spyware 2011是一个伪装成杀毒软件的流氓软件,除了anti-spyware这个名字外,还有Anti-Virus、Home Security、Total Security、Security、Internet Security等多个名字。因此如果不幸中了,就要想办法删除它。

  删除方法:按国外网站的建议,可以下载以下专杀工具(http://www.net-studio.org/patch/XP_Anti-Spyware_2011_Removal_Tool.zip)删除,这个工具适用于XP、VISTA、WIN7多种此类恶意软件,建议在安全模式下运行。按分析,此恶意软件如下动作:

生成文件:
%CommonAppData%\[random]
%AppData%\[random]
%Temp%\[random]
%Templates%\[random]
%AppData%\[3 letters random].exe

注册表:
创建注册表项
HKEY_CURRENT_USER\Software\Classes\.exe
HKEY_CURRENT_USER\Software\Classes\.exe\DefaultIcon
HKEY_CURRENT_USER\Software\Classes\.exe\shell
HKEY_CURRENT_USER\Software\Classes\.exe\shell\open
HKEY_CURRENT_USER\Software\Classes\.exe\shell\open\command
HKEY_CURRENT_USER\Software\Classes\.exe\shell\runas
HKEY_CURRENT_USER\Software\Classes\.exe\shell\runas\command
HKEY_CURRENT_USER\Software\Classes\exefile
HKEY_CURRENT_USER\Software\Classes\exefile\DefaultIcon
HKEY_CURRENT_USER\Software\Classes\exefile\shell
HKEY_CURRENT_USER\Software\Classes\exefile\shell\open
HKEY_CURRENT_USER\Software\Classes\exefile\shell\open\command
HKEY_CURRENT_USER\Software\Classes\exefile\shell\runas
HKEY_CURRENT_USER\Software\Classes\exefile\shell\runas\command
创建注册表值:
HKEY_CURRENT_USER\Software\Microsoft\Windows
Identity = 0x84F78321
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
ctfmon.exe = "%System%\ctfmon.exe"
HKEY_CURRENT_USER\Software\Classes\.exe\shell\open\command
(Default) = ""%AppData%\[random].exe" /START "%1" %*"
IsolatedCommand = ""%1" %*"
HKEY_CURRENT_USER\Software\Classes\.exe\shell\runas\command
(Default) = ""%1" %*"
IsolatedCommand = ""%1" %*"
HKEY_CURRENT_USER\Software\Classes\.exe\DefaultIcon
(Default) = "%1"
HKEY_CURRENT_USER\Software\Classes\.exe
(Default) = "exefile"
Content Type = "application/x-msdownload"
HKEY_CURRENT_USER\Software\Classes\exefile\shell\open\command
(Default) = ""%AppData%\[random].exe" /START "%1" %*"
IsolatedCommand = ""%1" %*"
HKEY_CURRENT_USER\Software\Classes\exefile\shell\runas\command
(Default) = ""%1" %*"
IsolatedCommand = ""%1" %*"
HKEY_CURRENT_USER\Software\Classes\exefile\DefaultIcon
(Default) = "%1"
HKEY_CURRENT_USER\Software\Classes\exefile
(Default) = "Application"
Content Type = "application/x-msdownload"
修改注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command
(Default) =

(分析来源http://www.net-studio.org/eng/patch/patch/296-how-to-remove-xp-anti-spyware-2011-vista-anti-spyware-2011-or-win7-anti-spyware-2011.html

怎样删除Win7 Anti-Spyware 2011

  注意看上面win7 anti-spyware 2011的扫描结果,表面上扫描出很多被感染的文件、木马,实际上这些都是编造的,即使用户的系统是32位的win7,也会显示扫出(x86)的目录名来(这是64位系统才有的目录),而且扫描的文件数和扫描出的病毒数可能在不同系统上都一样(忒偷懒了)。

  另外也可参考http://www.howtogeek.com/57837/how-to-remove-win-7-anti-spyware-2011-fake-anti-malware-infections/来清除,似乎这方面都是外国的网站,可能这个  win7 anti-spyware 2011在国外闹的比较厉害吧。 


>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/1029.html

  • 1楼.sfhdgj
  • 文章写的太好了,我们进行了转载!
  • 2011-6-8 12:11:35  [引用]

发表评论(无须注册,所有评论在审核通过后显示):

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

  • 微信订阅号
    微信订阅

最新发表

最新评论及回复

本站出现的所有广告均不代表本人及本站观点立场 | 关于我 | 网站地图 | 联系邮箱 | 返回顶部
Copyright 2008-2020 www.stormcn.cn. All Rights Reserved. Powered By Z-Blog.闽ICP备09000343号

闽公网安备 35010202000133号