【賽迪網-IT技術報道】最近,有大量網友反映在安裝或打開一些程序的時候,出現 NSIS Error 錯誤提示,這種情況很容易讓人誤會是系統出現了錯誤,或僅僅是該程序安裝文件損壞的原因。但是,如果僅僅是程序安裝文件損壞的原因,那不可能每次下載的文件都是損壞的,而且不是某一個程序才會這樣。如果是系統錯誤的原因,那又是什么原因呢?經過和大量的出現這種故障的電腦接觸,筆者終于明白這種情況是怎么一回事了。下面通過兩個實例把這種情況作一個詳細的分析。
實例一:被感染的360安裝文件
該網友說他老是碰到 NSIS Error 錯誤提示,我要他安裝一個360安全衛士掃描一下看看。他說裝不了,安裝的時候也出現這種提示。這就奇怪了。于是我提醒他去官方網站下載一個干凈的來安裝。他照辦了,誰料下了之后說還是不能安裝。有這么神奇的東西?我就不相信。我叫他發過來剛才下的那個文件給我。接到后,一掃描,沒有病毒。于是安裝,好家伙,剛一裝上馬上就彈出同樣的 NSIS Error 錯誤提示框框了,同時費爾報警發現了好幾個病毒。原來如此,這些文件一下載回來,馬上就被病毒感染了。
于是查看中毒機的進程,發現進程中有病毒進程avp.exe,C盤下面也有avp.exe這個文件。注意:殺毒軟件卡巴斯基的進程也叫avp.exe,注意分辨。病毒進程avp.exe位徑位于c: 也就是C盤根目錄下面。
實例二:C盤出現avp.exe+winsys.exe病毒文件
這次出現NSIS Error 錯誤提示的病毒查殺過程差不多。進入到C盤,可以發現C盤多了兩個病毒文件,avp.exe和+winsys.exe。不過這臺電腦感染的病毒文件比前面的多。
病毒行為分析,依順序為
1——avp.exe運行后,首先運行應用程序(Explorer.EXE)
2——修改其它進程內存(iexplore.exe)
3——由iexplore.exe創建病毒文件: c:Program Filesver.txt
4——ver.txt創建文件: C:WINDOWSsystem32wincom.exe
5——wincom.exe安裝服務或者驅動(調用services.exe)
6——wincom.exe創建文件: C:winsys.exe+C:winsys.inf+C:winsys.sys
7——wincom.exe運行應用程序 winsys.exe
8——winsys.exe拷貝文件到 C:WINDOWSsystem32DRIVERSwinsys.sys
9——調用services.exe安裝服務或者驅動winsys.sys
10——c:winsys.exe對注冊表進行一系列修改刪除創建操作
11——wincom.exe刪除文件 C:winsys.exe+winsys.inf+winsys.sys
12——iexplore.exe創建文件C:ver.txt
殺毒的方法
殺掉進程avp.exe和wincom.exe,再刪除以下文件(如果找得到的話):
|
然后再用殺毒軟件全面掃描,基本上就可以了。
