彻底清除exploit-anifile.c

今天公司电脑MCAFEE发现了exploit-anifile.c病毒

下面是MCAFEE的日志

下面给出杀毒软件的日志。
******************************************************************
2007-4-1 2:16:08 移动失败（清除失败，因为文件不可清除） ZHENWEI-A7B294D\Administrator IEXPLORE.EXE C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\CLOBW7G3\1[1].jpg Exploit-ANIfile.c (特洛伊)

 

开始看到在C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5这个路径下，我以往的经验就是清除IE缓存就好了，可是这次不行，而且在打开IE的时候弹出内存不能为读，点确定后IE自己关闭。

 

在网上搜了搜，找到了解决办法如下（最厉害的IT高手其实就是百度和GOOGLE）：

首先关闭所有浏览器，并打开任务管理器，查看是否还有IEXPLORE.EXE 运行，发现有，结束掉。
然后复制日志中病毒路径，不需要全部复制，只需要复制到Content.IE5结束，如我们这里的日志就复制“C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\”便可，然后打开我的电脑，粘贴路径，敲回车，可以看到如下图所示有很多随机英文和数字组合的文件夹以及desktop.ini（需要打开隐藏的系统文件才可见）与index.dat文件。


我们将desktop.ini和index.dat以外的所有文件夹删除掉（Shift+Delete），只保留这两个文件，如图。


如果中了该病毒，可能会发现这里还多了一个名为1的文件，将其删除掉，系统根目录下可能还会有名为1的文件，也将其删除。




本文为本站细水原创文章，如需转载请注明出处 McAfee 安全资讯

如果没有打ANI漏洞补丁KB925902请访问下面的页面下载手动将补丁打上，以保护你计算机的安全
[url]http://www.mcafeefans.com/article.asp?id=765[/url]
[url]http://www.mcafeefans.com/article.asp?id=789[/url]


以下为2007年6月24日补充：

我这里再郑重说一便，如果你打了该漏洞的补丁(MS07-017),该病毒不会对你造成任何威胁？难道你当微软是吃干饭的？？花一个月时间写补丁就没效果？？McAfee或其他杀毒软件在你上网的时候提示发现Exploit-anifile.c 病毒纯属正常，如果你发现你杀软检测不了，那你赶紧卸载吧，就这样简单的病毒都检测不了怎么混啊？McAfee提示该病毒只能告诉你三点：
第一：该网站存在木马，请以后慎重访问（确信自己没有被ARP欺骗？什么是ARP欺骗，就是随便访问什么网站都带毒，包括我们网站，所以这叫欺骗，如果被欺骗了，你访问百度狗狗都是带毒的，如何解决，请在我们站内查找）；
第二：McAfee有很强的网页木马检测能力，特别是未知病毒，只要你能想到，都可以用规则等方式来实现，及时不在杀毒领域上；
第三：如果你安装了该漏洞补丁，我可以告诉你，没事，即使你没有按上面的操作将病毒删除掉也没有是，不存在任何威胁，如果你嫌弃McAfee的告警很烦人，请关闭该网页，以后不要访问了， 他有毒，作为使用者，你应该知道你访问的网页是否带毒，所以我不推荐你启用静默模式（即没有任何提示，但可以在日志中查找）

上面的方法，我只摘录一部分，前面有一部分只是关于这个病毒的一些情况，所以没有摘录。

 

下篇文章： 给我女朋友的一封电子邮件