手动清除SysAntiexe(超详细)

1、手动清除SysAnt iexe和autorun .inf病毒首先是如果中了 SysAnti.exe和autorun.inf病毒你计算机的病毒相关的软件、IE、或者记事本里 面关于杀毒软件的信息都会自动关闭，硬盘各个分区都有SysAnti.exe和autorun.inf这两个文件，而且删除了马上又会重新跑回来，普通办法你删除不掉。autoRu n.inf文件内容为: AutoRu nOpen=SysA nti.exeShellOpe n=打开(&O)ShellOpe nComma nd=SysA nti.exeShellOpe nDefault=1ShellExplore=K源管理器(&X)Sh

2、ellExploreCommand=SysAnti.ex制作了假的右键命令，欺骗用户再次运行病毒该病毒的运行原理：病毒有变种，以下情况不一定都有：SysAnti.exe运行后，释放病毒文件 SysAnti.exe和autorun.inf至U硬盘各个分区根目录以及 连接到中招电脑上的移动存贮介质的根目录。接下来，首先在windows%Fonts目录释放并加载运行一个随机字母名的病毒.dll。此dll运行后，即刻关闭IceSword Autoruns、SReng等常 用手工杀毒辅助工具并在注册表中添加IFEO劫持项，破坏多种杀软和防火墙加载运行。另：此毒有变种能释放多个病毒.dll到%system

3、%目录和%windows%Fonts目录；释放病毒 文件.fon、.ttf到%windows%Fonts目 录。释放病毒驱动.sys到系统驱动目录并改写一个正常的 系统驱动程序.sys;替换系统程序userinit.exe。（部分用户无此现象）。此毒感染系统文件以外的所有.exe文件。这个病毒的反删除招数就是把自己的程序注入进 程svchost.exe中，从而隐藏自己，从表面上看它调用 explorer.exe。在注册表中的Run中的 ctfmo n. exe是在后台自动运行，病毒（in stall病毒在ctfmo n. exe中 值的名字）就在其中。处理办法：（建议断网并且关闭其他运行的程序

4、后进行。）1. 结束“ svchost.exd进程。打开“任务管理器”“进程”选项卡，找到“svchost.exd进程。“svchost.exd进程有很多个，按“映像名称”排序（就是鼠标单击其标签），按a-z顺 序，最下面那个“svchost.exd（该进程用户名一般为当前系统的用户名）就是被病毒利用 的进程，结束该进程。2. 删除SysAnti.exe和autorun.inf病 毒。（1）打开压缩软件 WinRAR（该软件可以看到所有隐 藏的文件），分别浏览电脑上的分区（C、D、E、F.盘以及U盘），在盘符下面找到SysAnti.exe 和autoru n.inf病 毒文件，右击该文件删除即

5、可。（2）利用压缩软件 Win RAR,打开系统盘 Program FilesCommon Fiiles文件夹将里面的SysAnti.exe病毒文件删除。（友情提示：删除病 毒文件之后，还要清理IE临 时文件。）3. 用杀毒软件杀毒。利用以上方法将SysAnti.exe和autorun.inf病 毒文件删除后即可利用杀毒软件（360、卡巴斯基、诺顿、瑞星等都可以）杀毒了，用最新升级的杀毒软件对电脑进行 全盘病毒查杀（包括U盘）即完全将查杀SysAnti.exe和autorun.inf病毒了。最后修复被损坏的一些系统文件，如COMRes.dll的修复（可以用工具搞定）。如果你中了他的变种病毒（如

6、写入了 %windows%Fonts目录），他的软肋是%windows%Fonts 目录那个随机文件名的.dll。如能阻止此dll释 放/加载，这个SysAnti.exe基本就是个死东西。增补：另附图文解决办法（见下页）S indo5任务官理器文件世选项辺 查看辺 关机 帮助QD 应用程序进程|性能 联网 用戸二L讲程数：45CPU使用：2%援交更改：523M /羽39M有可疑的进程，灭了他svchost.exe 正常在 C:/windows/system32/ 下面，如果在 C:/windows 下面就有问题了手工灭毒步骤：1、在“任务管理器”结束上图中的那个可以进程（即非 SYSTEM用户

7、的svchost.exe）2、删除C:/windows 下面的svchost.exe （如果还有的话）。同时删除各分区目录下的 AutoRun.inf 和Sysanti.exe两个文件，注意打开“显示隐藏文件”和“显示系统文件”才能看到3、找到下图的目录，删除里面的Sysa nti.exe|C：VPr frgrani FilasVCommcn Files文件和文件真任务R创建一亍新文件夹SysAntL exe4、删除病毒的启动项：打开注册表编辑器（开始-运行-输入“ regedit ”），定位到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWi ndowsCurre n

8、tVersio npoliciesExplorerR un删除右侧的Sysanti.exe，这样就没法随着explorer.exe进程一块启动了文件世）编辑（1）直看迪收藏夹 帮助（M）獸认）Sys.Anti e英型名称数据傲值未设置C:am FilesVConinofi FileEVSyEArLti.l_| ttSSM+ l_| MisI_| OptimaJ.LayQut I_| Phc t oPr cp r tyHmdS |_J policia _j ExplorerT RunNonEnum_J| Ratingsl systemPr avi eHaiLdl 电!呂Proper tySysR

9、einstall5、定位到下图的目录，用记事本打开它地站辺O C：，miOaWSsytem32driyarsstc删除所有的内容（尤其是下图中的），这些正是被屏蔽的网站E host s -记事本回I文件g）編辑 格式 查看帮助127.0,0.1 wvp.3O36 uiuu.36 0safe,com viw.chinahu .con ill. jiangfdn.con 127.0,0.1 uiuu, jiangmln .com mMJ127.

10、0.0.1 127-0.0-1 127-0.0-1 127.Q.0.1 127-0.0-1 wwvnod32 .com union.kingsoft _com www.kawper占Ry匚 cn uirustotal. com virscan 叶 g wou_ wur-ksperskj|, com 忖训诽EnnQd32.ch tju_nod32club, com wi

11、vf .dswlab cdh127.0.0-1bbs _ www .uiruE tool360_ www.kafan.ehbbs.kafan cn6、在注册表中定位到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWi ndows NTCurre ntVersio nlmage File Executio n Optio ns删除被禁止的安全工具，这里推荐使用软件清理，以免误杀。推荐使用SREng清理，危险项会以红色标出点我下载SREng名芋数据键跻径| |lFEO SBOhotfi

12、x. exentsd -dKKEY_LOCAL_MAHIffES0FTWAHEMi crosof t.WindDwJ叼 IFE03B0rpt. xentsd -dKKEY_WCAL_fflACHINESOFTWAREHi crosoftMindow:叵| IFE0350Safe. exentsd -dHKET_WCAL_IHACHIKE SQfTIABEMi crosoftindowj回 I7E0350safebox. exentsd -dHKEY卫CALJflACHIlIESOfTWAREHi crosoftWindow!0 1?0360tray.ntsd _dKKET卫CALJUACHDIE订OF邛畑训i EgoftlWWdMf回 IfEOadani. ehentsd -dKKEY_UaCALJACHIWESOmAREMicrosoftWiiLd0wjPl IfEO Agentsvr. entsd -dHKET_UCAL_HIACHIFES0FnmMicrc5oftWiiuiowj回 IfE0AntiArp.ftKentsd dKKEY_LaCAL_MACKIKESOmAREMicrosoftiiL(io*!0 IFEO AppSvcSZ. axeiktwd _dHKEY