在电脑报论坛看到求助,说是被安装了一个win7 anti-spyware 2011,界面类似微软反恶意软件的工具,然后提示用户中了“好些”病毒,不过要清除必须花钱购买它的杀毒软件,还会自己下载打开广告网页。到网上查了下,据说这个win7 anti-spyware 2011是一个伪装成杀毒软件的流氓软件,除了anti-spyware这个名字外,还有Anti-Virus、Home Security、Total Security、Security、Internet Security等多个名字。因此如果不幸中了,就要想办法删除它。
删除方法:按国外网站的建议,可以下载以下专杀工具(http://www.net-studio.org/patch/XP_Anti-Spyware_2011_Removal_Tool.zip)删除,这个工具适用于XP、VISTA、WIN7多种此类恶意软件,建议在安全模式下运行。按分析,此恶意软件如下动作:
生成文件:
%CommonAppData%\[random]
%AppData%\[random]
%Temp%\[random]
%Templates%\[random]
%AppData%\[3 letters random].exe注册表:
创建注册表项
HKEY_CURRENT_USER\Software\Classes\.exe
HKEY_CURRENT_USER\Software\Classes\.exe\DefaultIcon
HKEY_CURRENT_USER\Software\Classes\.exe\shell
HKEY_CURRENT_USER\Software\Classes\.exe\shell\open
HKEY_CURRENT_USER\Software\Classes\.exe\shell\open\command
HKEY_CURRENT_USER\Software\Classes\.exe\shell\runas
HKEY_CURRENT_USER\Software\Classes\.exe\shell\runas\command
HKEY_CURRENT_USER\Software\Classes\exefile
HKEY_CURRENT_USER\Software\Classes\exefile\DefaultIcon
HKEY_CURRENT_USER\Software\Classes\exefile\shell
HKEY_CURRENT_USER\Software\Classes\exefile\shell\open
HKEY_CURRENT_USER\Software\Classes\exefile\shell\open\command
HKEY_CURRENT_USER\Software\Classes\exefile\shell\runas
HKEY_CURRENT_USER\Software\Classes\exefile\shell\runas\command
创建注册表值:
HKEY_CURRENT_USER\Software\Microsoft\Windows
Identity = 0x84F78321
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
ctfmon.exe = "%System%\ctfmon.exe"
HKEY_CURRENT_USER\Software\Classes\.exe\shell\open\command
(Default) = ""%AppData%\[random].exe" /START "%1" %*"
IsolatedCommand = ""%1" %*"
HKEY_CURRENT_USER\Software\Classes\.exe\shell\runas\command
(Default) = ""%1" %*"
IsolatedCommand = ""%1" %*"
HKEY_CURRENT_USER\Software\Classes\.exe\DefaultIcon
(Default) = "%1"
HKEY_CURRENT_USER\Software\Classes\.exe
(Default) = "exefile"
Content Type = "application/x-msdownload"
HKEY_CURRENT_USER\Software\Classes\exefile\shell\open\command
(Default) = ""%AppData%\[random].exe" /START "%1" %*"
IsolatedCommand = ""%1" %*"
HKEY_CURRENT_USER\Software\Classes\exefile\shell\runas\command
(Default) = ""%1" %*"
IsolatedCommand = ""%1" %*"
HKEY_CURRENT_USER\Software\Classes\exefile\DefaultIcon
(Default) = "%1"
HKEY_CURRENT_USER\Software\Classes\exefile
(Default) = "Application"
Content Type = "application/x-msdownload"
修改注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command
(Default) =
注意看上面win7 anti-spyware 2011的扫描结果,表面上扫描出很多被感染的文件、木马,实际上这些都是编造的,即使用户的系统是32位的win7,也会显示扫出(x86)的目录名来(这是64位系统才有的目录),而且扫描的文件数和扫描出的病毒数可能在不同系统上都一样(忒偷懒了)。
另外也可参考http://www.howtogeek.com/57837/how-to-remove-win-7-anti-spyware-2011-fake-anti-malware-infections/来清除,似乎这方面都是外国的网站,可能这个 win7 anti-spyware 2011在国外闹的比较厉害吧。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/1029.html
