由于近期朋友电脑中了加强版的SRV病毒,所以分享出来清除方法和综合网上与自己研究的防御方法。
特征:
文件运行后,同目录下会出现一个原名 srv*ex.e**的文件
普通SRV与加强版的SRV:
普通SRV: 普通的SRV病毒就是A一类PE病毒,出现年限也将近9年。普通SRV病毒主要采用劫持/改写系统某文件,首先对运行中的文件进行感染,然后搜索磁盘文件进行感染,这里得说一下特征,被感染的文件通常运行后都会出现一个源文件名 sev*ex.e**的可执行文件,很奇怪的是,这文件并没有被占用,可以直接删除。
检测了它的运行轨迹,基本可以直接这样判断了,首先中了病毒的源文件一旦被打开,释放了病毒文件后,检测系统是否已经中了这种病毒,是的话,不会再次感染,一旦没有,将会进行感染,然后你的系统里面所有的可执行文件就会变成病毒母体,等待传播到下一个电脑的时候就会再次爆发,然后无限循环,一些杀毒软件的确能清理掉它。
比如srv病毒专杀工具 :
Symantec Ramnit Removal Tool (赛门铁克)
打上windows补丁kb958644
nod32全盘杀
scep
drwrb修复被感染文件
以上三种基本上普通的srv病毒即可清除。
加强版SRV:
加强版的srv病毒暂时只发现后台默认上传信息资料,远控,截图,占用77%的内存,隐藏病毒进程名"plisrv*ex.e**"加强版的srv病毒融入了几种蠕虫病毒通过电脑开放电脑端口达到目的。
防御复生方法使用bat命令然后使用上面几种杀毒方法;
bat命令:
BAT命令1
@echo off
::设置端口号
set Port=135,137,445,3389
for %%a in (%Port%) do netsh firewall set portopening TCP %%a DISABLE
pause
bat命令2
@echo off
set port=135,137,445,3389,88,90,444
for /f "tokens=1-5" %%i in ('netstat -ano^|findstr ":%port%"') do (
echo kill the process %%m who use the port %port%
taskkill /pid %%m
)
复制bat命令到txt文本保存后,修改后戳名为bat,双击运行即可防御,接着使用上面几种杀毒方法清理。
个人建议:切勿在网络上*载下**不明软件,可以使用影子系统或程序哨兵等还原系统程序,或在虚拟系统打开*载下**的软件,这样也可防止本机资料丢失,程序出错等问题。