观察好象有新的木马群利用普通的映像劫持对付安全软件,请去依照这贴操作,制定防御规则防护系统:
点击进入下面的是以前的东西,顺便设置一下也不错:
———————————————————————————————————
这阵不断有关于安全软件被删除的求助贴
主要是中毒系统里有javqhc病毒。
此病毒运行后会删除大量的官方安全软件。
这毒目前还没变的太多,其一直靠下面注册表项启动
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
锁住这个注册表项以后,就可以预防那病毒注入系统目录,开机启动自身了。同时这毒还注入QQ目录、QQ游戏目录、以及“快车”目录。
当启动QQ、QQ游戏、以及快车时,都将启动该病毒。
其利用的都是以上QQ目录、QQ游戏目录、以及“快车”目录里病毒注入的wsock32.dll文件来启动病毒运行。
锁定这个wsock32.dll文件,病毒也死了。(
注意:千万不能去折腾系统目录里的wsock32.dll文件,如果你去折腾系统目录里的wsock32.dll文件,你自己就死定了)
同时还发现,该病毒虽然删除大量安全软件,阻止安全软件的正常运行,但是一直没有完全禁止瑞星杀毒软件的主动防御监控部分。
所以我们在中毒异常的电脑里还能启动瑞星主动防御的。
就可以尝试利用瑞星主动防御来禁止病毒的启动:
1、我们首先打开主动防御设置
2、提示输入验证码时,我们正确输入
3、然后我们选择主动防御设置的“系统加固”里的“自定义级别”
4、我们在跳出的“系统加固用户设置”里选择“注册表监控”里的“系统配置”里的“本地机算机系统壳(shell)服务对象延期加载”,这项实际就是病毒要利用的启动项。锁定它,就可以预防病毒利用来开机自启动了。但是已中毒的系统里,就得设法控制已中的实际病毒文件才能解决问题。
5、做好上面的设置,已经可以阻止注入系统目录里的那个病毒的开机启动了,现在我们再在“主动防御设置”里的“应用程序访问控制”里添加规则阻止其他目录里的病毒的启动。就可以解决已中毒的问题了。不在这一步操作阻止已经注入系统目录里的病毒,对于已中毒的系统,可能病毒还可以继续启动的。
注意操作顺序,选择阻止任意程序访问病毒文件。
6、设置好任意程序访问规则后,我们就可以准备添加病毒文件了。
7、我们添加“病毒实际文件”来“拒绝”任意程序对其“访问”。我们在“监控目标”里直接粘贴我们得到的病毒文件全部路径信息。包括注入系统目录里的毒也可以一并添加。
对于病毒的实际文件名和路径,自己不知道的,可以根据发日志后,网友为你指出的详细病毒文件信息复制、粘贴、进行添加操作。
8、既然病毒利用QQ目录、QQ游戏目录、以及“快车”目录里病毒注入的wsock32.dll文件来启动病毒运行。那么我们也一并操作拒绝任意程序对这些目录里的wsock32.dll文件的访问。(
千万不要折腾系统目录里的那个wsock32.dll噢)
如上设置解决病毒自启动以后,,就可以重启电脑(规则制定后,必须重启电脑才有效),然后升级杀毒软件来全盘杀毒了。如果你的瑞星杀毒软件的主动防御监控已经不能正常开启的,可能操作无效。
对于还没有中毒的瑞星用户,也可以用这个方法来预防该病毒。
此病毒实际利用了人们这么多年的使用电脑的习惯
一、是利用了人们喜欢让QQ、QQ游戏、以及“快车”等软件开机自启动。所以成为病毒利用来启动自身的极好的方式了。
例如:QQ安装后会在开始菜单里的“启动”文件夹里注入快捷方式,这在电脑开机后就会自动运行QQ软件。
还有“快车”等软件自身就安装后默认是开机自启动的,也应该在“快车”软件的自身的设置中设置其开机不自启动。
二、是利用了人们喜欢将这些软件安装在非系统盘,而中毒后任何官方安全软件都不能正常使用后,中毒的用户一般选择重装系统,可他们都习惯重装系统后,又直接去运行非系统盘的QQ等各种软件了。
一般这样的中毒电脑,在重装系统后,要先去删除QQ等软件的目录里的wsock32.dll文件,才能再使用QQ等软件。否则永远没的完的。
至于该病毒对hosts文件的修改防护,可以去看这贴操作:点击进入
阻止病毒对hosts文件的修改,可以解决网页异常转向为不正常的假百度等问题。(但是前提是必须先重置hosts文件后,才能这样设置阻止)关于hosts文件的重置问题,可以在解决病毒后,去使用扫描日志的SRENG工具:在扫日志的SRENG工具》系统修复》HOSTS文件》选择“重置”再“保存”(这重置、保存也必须是暂时杀毒软件的监控还不阻止这hosts修改的情况下,才能重置成功,否则杀毒软件会阻止重置的。)
