我的位置: 主页 > 学习专区 > 网络工程 > > niu.exe病毒清除方法

niu.exe病毒清除方法

2013-12-13 14:04北大青鸟锦江天府学院
[导读] niu.exe是什么病毒? 病毒运行之后,会修改注册表的以达到随系统自动启动的目的。在系统文件夹C:\WINDOWS \system32\ 下面生成niu.exe和crsss.exe文件(注意,跟系统文件csrss.exe极其相似!),

niu.exe是什么病毒?

病毒运行之后,会修改注册表的以达到随系统自动启动的目的。在系统文件夹C:\WINDOWS \system32\ 下面生成niu.exe和crsss.exe文件(注意,跟系统文件csrss.exe极其相似!),同时在硬盘的每个分区下面自动生成 autorun.inf和niu.exe文件,跟AutoU盘病毒的症状有点类似。

除此之外,niu.exe病毒会搜索硬盘中的所有htm文件,在源代码中插入一段iframe 代码,打开浏览器之后即会下载大量的木马;甚至还会删除硬盘中的gho备份文件、修改文件的显示与隐藏属性、将系统时间修改为1987年10月18日等。

niu.exe病毒清除方法
1、先下载Icesword1.20SREng,之后断开网络链接。

2、打开冰刃Icesword,设置好禁止进线程创建。然后用冰刃强制删除每个分区下的Autorun.inf和niu.exe文件以及如下文件(如果有的话):
C:\Windows\system32\niu.exe
C:\Windows\system32\Autorun.inf
C:\WINNT\system32\1.exe
C:\WINNT\system32\1.DAT
C:\WINNT\system32\2.exe
C:\WINNT\system32\xyfini.dll
C:\WINNT\system32\xyfpri.dll
C:\WINNT\system32\4.exe
C:\WINNT\system32\4.DAT
C:\WINNT\system32\6.exe
C:\WINNT\system32\tlmini.dll
C:\WINNT\system32\tlmpri.dll
C:\WINNT\system32\7.exe
C:\WINNT\system32\7.DAT
C:\WINNT\system32\8.exe
C:\WINNT\system32\8.DAT
C:\WINNT\system32\11.exe
C:\WINNT\system32\ztkini.dll
C:\WINNT\system32\ztkpri.dll
C:\WINNT\system32\13.exe
C:\WINNT\system32\zxeini.dll
C:\WINNT\system32\zxepri.dll
C:\WINNT\system32\TIMHost.dll
C:\WINNT\TIMHost.exe

3、应用之后,重新启动冰刃,并打开SREng,清除如下注册表信息:

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
<TIMHost><C:WINDOWSTIMHost.exe> []
<crsss><C:WINDOWSsystem32crsss.exe> []
<WinForm><C:WINDOWSWinForm.exe> []
<tlsa><C:DOCUME~1ADMINI~1LOCALS~1Temptlso.exe> []
<KVP><C:WINDOWSsystem32driverssvchost.exe> []
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks]
<{713AF41A-21B1-131B-1BFC-D2A90DF4A2B7}><C:\winnt\system32\xyfpri.dll>   []
<{212BC423-3713-224D-3F55-32B35C62B112}><C:\winnt\system32\tlmpri.dll>   []
<{B1351752-5628-1547-FFAB-BADC13512AFB}><C:\winnt\system32\ztkpri.dll>   []
<{5A65498A-7653-9801-1647-987114AB7F45}><C:\winnt\system32\zxepri.dll>   []
<{754FB7D8-B8FE-4810-B363-A788CD060F1F}><C:Program FilesInternet ExplorerPLUGINSSystem64.Sys> []
<{22311A42-AC1B-158F-FD32-5674345F23A2}><C:WINDOWSsystem32dhbpri.dll> []
<{71351752-5628-1547-FFAB-BADC13512AF7}><C:WINDOWSsystem32ztgpri.dll> []

4、最后将浏览器的主页改为原来的设置即可。如果出现无法显示隐藏文件的情况,可以参考之前的文章。
热点专题
>>
相关文章推荐
>>
www.028bdqn.com/" title="北大青鸟证书" class="tagc1" target="_blank">北大青鸟证书 北大青鸟学历 华为 集体 班好 凤凰山 一峰 红树 林骑行 成功者 云景 清远北大青鸟 网页制作 文天祥 惠州北大青鸟 河源北大青鸟 梁*伟 秦*政 温*典 许*灿 珠海北大青鸟 林*涛 李*军 罗* 陈*标 雷* 王*轩 张*兴 温*华 苏*胜 廖*军 徐*凝 陈*昌