reader_s.exe
reader_s.exe 病毒分析报告图片: 工作原理
1)只有上网才会启动病毒
2)中毒者上网之后,在C盘WINDOWSSYSTEM32下释放reader_s.exe
同时在WINDOWSSYSTEM32TEMP下生成20多个临时文件(如BN**.TMP)
释放完毕后会出现大量的SVCHOST.EXE进程,并暗地里启动电脑机器的默认浏览器(如:360SE.EXE),并调用一些安全进程来掩护自己,以及1-2个raeder_s.exe.其中临时文件会在进程中逗留10-20秒然后自动结束。
3)接着把reader_s.exe拷到注册表
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
以及HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下,以便下次开机时自动启动。
4)这个病毒的危险性在于,进程多,拖慢电脑速度,而且,如果中毒之后不管,30分钟-4个小时内自动断网且电脑里的任何东西全部打不开!
进程里有X(随机).tmp,reader_s.exe。system权限的iexplorer。
在windowsemp里释放几个临时文件还有MSAGNT32.DLL和vrrX(数字随机).tmp
IE下载许多木马。在D盘的windowsblind(权威的win系统美化软件)里释放tmp(很聪明的做法)。
Ps:好像在还会windowsemp下会有一个释放services.exe文件.
reader_s.exe危害这个病毒中后会耗费系统资源,听说还会下载木马,但我还没有观测到。
reader_s.exe查杀1.从启动项去除reader_s.exe的开机启动,重启后进入安全模式,删除之。文件位置在c:WINDOWSSYSTEM32 和 C:Documents and Settings你当前的账户
2.在网上搜索“ComboFix”工具,下载到本机运行,需要一段时间,大概半小时到一小时的样子,会有重启过程。
3.至此机器的系统盘和内存等核心位置已经清理干净,不会有运行的被感染进程,接下来找一个好的杀软,比如mcafee、nod、kaspersky,国产的不靠谱(没有鄙视的意思,不过事实确实如此),安装完杀软后升级病毒库到最新并重启机器。
4.至此你的机器已经处于安全的状态,即使非系统盘有感染的文件,杀软也会在第一时间修复或者删除。
第二种
病毒文件位置:C:Documents and SettingsAdministrator
eader_s.exe
C:windowssystem32
eader_s.exe
主要是这两个程序,我来告诉你怎么杀掉。
首先打开任务管理器(或者其他进程的管理器,推荐Windows优化大师自带的那个),找到reader_s.exe,点右键→结束进程树。然后打开我的电脑,点工具→文件夹选项→查看 取消勾选“隐藏受保护的系统文件”之后确定。
这个病毒可能会抑制记事本的运行,我的电脑上打不开记事本,不知道你的是不是。
来编写一个批处理,因为没有记事本,打开开始菜单→程序→附件→命令提示符,输入以下内容(输入完一个指令后回车,这里一行一个指令)
cd (回车)
edit kill.bat (回车)
在打开的那个蓝色编辑器中输入
@echo off (回车)
del reader_s.exe (回车)
md reader_s.exe (回车)
cd reader_s.exe (回车)
md kill..... (回车)
cd.. (回车)
pause (回车)
然后按Alt+f,选择Save,之后退出。
之后你会在C盘找到一个kill.bat文件,把它拷贝到C:Documents and SettingsAdministrator和C:windowssystem32文件夹下,运行(运行前确保已经结束了reader_s.exe进程)
之后屏幕会出现黑色窗口,按任意键继续。
然后在这两个文件夹里寻找reader_s.exe 如果他们变成了一个文件夹,那就行了。
专杀暂时没有哦,据说微软都出奖赏了
reader_s.exe免疫简单的一个方法,杀不尽但可以不受其影响
先用Wsyscheck删除病毒文件和病毒服务,将cmd.exe改名
在C:Documents and Settings<你的用户名>文件夹下建一个reader_s.exe文件夹
在C:windows文件夹下建一个services.exe文件夹
在C:WINDOWSsystem32文件夹下建一个cmd.exe文件夹,建一个reader_s.exe文件夹和一个svchost.dll文件夹
在C:WINDOWSsystem323361(如果存在)文件夹下建一个services.exe文件夹
先把病毒文件删除,再使用以上的免疫方法可以确保不受其影响
[可以配合使用file force killer 暴力删除]