Board logo

标题: 【公告】针对Trojan.Win32.Genetik.xr(IFEO:映像劫持类病毒)病毒的解决方案 [打印本页]
作者: Legend     时间: 2007-6-7 16:55    标题: 【公告】针对Trojan.Win32.Genetik.xr(IFEO:映像劫持类病毒)病毒的解决方案

近期大量用户反馈中了病毒后不能进入安全模式,正常模式不能安装微点主动防御软件,在浏览器中无法输入打开有关反病毒的网页。

      经过微点技术人员分析此病毒是Trojan.Win32.Genetik.xr或其变种病毒,即互联网报道的IFEO:“映像劫持类”病毒。
      
      此类病毒的特征:

      1.生成很多8位数字或字母随机命名的病毒程序文件,电脑开机时自动 运行。

      2.使用IFEO劫持(windows文件映像劫持)技术,修改注册表,破坏几十种常用的杀毒软件,在浏览器中无法输入打开有关反病毒的网页,使QQ医生、360安全卫士等几十种常用软件无法正常运行,即使手动删除了病毒程序,下次启动这些软件时还会报错。

     3.不能正常显示隐藏文件,破坏系统安全模式,使得用户不能启动系统到安全模式来维护和修复

     4.禁用windows自动更新和Windows防火墙,这样木马下载器工作时,就不会有任何提示窗口弹出来。

     5.每个磁盘分区上建立自动生成autorun.inf和相应的病毒程序文件,通过自动播放功能进行传播。这里要注意的是,很多用户格式化系统分区后重装,访问其它磁盘,立即再次中毒,用户会感觉这病毒格式化也不管用。

     6.病毒程序的最终目的是下载更多木马、后门程序。该病毒会从指定的网址中下载多款网游木马,可以盗取包括魔兽世界,传奇世界,征途在内的多款网络游戏的帐号和密码,对网络游戏玩家的游戏装备构成了极大的威胁。


如有类似情况的用户请按照以下步骤安
装微点主动防御软件:
   
1、首先建立一个文本文件(txt文件)将下边的信息复制到文本文件中然后保存

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@=\"DiskDrive\"

将保存的文本文件的扩展名修改成reg,然后双击导入注册表后重启机器。

2、进入安全模式安装微点主动防御软件,重启机器登录正常模式,微点主动防御软件会报警发现病毒,按照提示删除即可。打开微点主动防御软件主界面--【系统自启动信息】右键”隐藏已知的启动信息“,然后右键选择删除

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\Image File Execution Options

被劫持的注册表项后重启系统即可。

3、已经安装微点主动防御软件的用户,微点主动防御软件能够很好的拦截并处理此类病毒。微点主动防御软件自动保护系统安全模式的注册表项,防止病毒对系统安全模式注册表键值的篡改,微点主动防御软件保护自身的注册表项不会被病毒劫持。

[ Last edited by Legend on 2007-7-6 at 17:00 ]



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn