GIF 病毒特点以及处理办法.doc

病毒特点以及处理办法中毒后的特征：一、任务管理器中有一些伪装的 gif 文件，如12.gif；23.gif；27.gif 等，一般是1～2位数数字的文件名，也有英文名称，如 kk.gif 等，这些进程有时会自己终止进程，立即启动其他 GIF 病毒进程，只能眼看着任务管理器进程栏中许多 gif 病毒忽隐忽现，变来变去，此时任务管理器基本派不上用场；二、浏览器出现异常，系统可能会频繁地自动重启MSCONFIG.EXE 启动后不能正常使用，进程中能发现 MSCONFIG.EXE三、杀毒软件不能正常杀毒病毒所在的目录：C:Documents and SettingsAdministratorLocal SettingsTempC:Documents and SettingsAdministratorLocal SettingsTemporary Internet FilesC:Documents and SettingsNetworkServiceC:WINDOWSsystem32其中 C:表示系统盘所在分区，如果系统装在 D 盘，则用 D：代替 C：；Administrator 表示当前登陆系统所用的帐户，如果使用其他帐户登陆系统，就用其他帐户名代替 Administrator；病毒程序的特征：Temp 目录下的病毒其后缀为 gif 和 bat，很多病毒的文件名形式为12.gif.bat ，看上去既包含 gif 后缀又包含 bat 后缀，其实只有 bat 才是真实的后缀 ；system32目录下的病毒程序是 exe 可执行文件类型，比如 explorer.exe 、 explore.exe 等，酷似浏览器 explorer.exe 的文件名，不过大小不一样，图标也不一样，跟 windows 根目录下的浏览器程序比较一下大小和日期等属性就能识别。

也可能是其他名字，同样从程序属性中的修改日期可以识别我个人觉得 GIF 病毒跟 explorer 病毒有一定关系这种病毒破坏性不大，不过清理起来还是有点麻烦，它会自动下载病毒到 IE 缓存目录，因此需要控制它的传播路径，特别是临时目录和 IE 缓存目录，才能取得理想的效果处理方法：一、修改资源管理器中“文件夹选项”→“查看”下面的设置，显示所有文件夹，包括系统文件和文件夹，不要隐藏已知文件类型的扩展名这样设置后，还不一定能看到隐藏的病毒，最好使用 winrar 解压缩软件做浏览器，找出病毒；二、进入病毒所在目录：先删除 bat 后缀的病毒，再删除 gif 文件如果没有删掉 bat 文件，可能无法删除 gif 文件Temp 目录和 Temporary Internet Files 目录里面的文件可以全部删除，NetworkService 里面的文件特别是 exe 可执行文件和 bat 批处理文件全部删除；三、System 目录里面，找出修改日期在最近几天之内的 exe 可执行文件，删除方法：打开 system 目录，点击工具栏里面的“查看”按钮，点击“详细信息” ，再点击“排列图标” ，选“修改时间。

这样能快速找出病毒，修改时间在最近几天之内的一般是病毒四、如果不能删除，启动任务管理器，把那个程序的进程终止，然后删除，后缀为exe 的此类型病毒都很容易用任务管理器终止进程（后缀为 bat 的病毒可以直接删除） 五、启动注册表，打开以下键项：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun在 RUN 键项右边窗口中，如果有 msconfig.exe，explore.exe，explorer.exe 等启动项，直接删除比如：如果有 C:WINDOWSsystem32explore.exe 则直接删除；以下是正常项目，不需要处理：C:WINDOWSsystem32hkcmd.exeC:WINDOWSsystem32igfxtray.exe"C:WINDOWSIMEimjp8_1IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32C:WINDOWSsystem32IMETINTLGNTTINTSETP.EXE /IMENameC:WINDOWSsystem32IMETINTLGNTTINTSETP.EXE /SYNCSOUNDMAN.EXECTFMON.EXE如果杀毒软件的实时监控不能启动，可以在这里加入杀毒软件监控程序的文件名和路径，比如：在 RUN 键项右边窗口中新建字符串值，名称为 RavMon，数值数据为：C:Program FilesrisingRavMon.exe/system ，加上/system 参数可以让程序以系统进程方式自启动。

六、最好使用组策略中的软件路径规则防止病毒从 temp 目录、Temporary Internet Files 目录以及 NetworkService 目录里面启动；并且用散列规则阻止病毒从 system32目录里面启动（在删除病毒前操作） 也可以在删除病毒后，随便用记事本编写几个文档，然后改成病毒文件的名字（后缀也改成一样）并设置属性为只读，这样真的病毒就无法进入system32这个目录了七、经过以上操作并不能保证病毒已经全部清除，需要重启系统，启动杀毒软件全盘杀毒（最好断开网络） 如果杀毒软件仍然不能启动，可能需要修复（比较难） 也可能是系统目录下多出几个 dll 文件，一般是最近两天内新增加的 DLL 文件，把那个文件的后缀.dll 改成 .dll_ 等就可以让它失效为了防止误操作，这里尽量不要删除 dll 文件，如果发现错了，再改回去如果杀毒软件能正常杀毒了，说明修改成功如果觉得以上操作太麻烦，那就重装系统吧！重装时不要使用修复安装方式（系统内核本来就没有受到多大影响） ，用安装光盘启动系统，格式化系统盘全新安装这种病毒好像并没有感染系统盘以外的分区。