NPF.SYS是什么 NPF.SYS 被病毒感染了...怎么办?

NPF.SYS是什么
NPF.SYS 被病毒感染了...怎么办?

AV终结者!下个专杀! 最近发现很多人出现了打不开杀毒软件、反病毒工具,甚至带有病毒字样的窗口 这是一个可以说结合了几乎所有病毒的特征的病毒 该种利用“映像劫持”以及“随机8位数字病毒”其实是一个叫作“AV终结者”的电脑病毒,该病毒通过映像劫持技术,将大量杀毒软件“绑架”,使其无法正常应用,而用户在点击相关安全软件后,实际上已经运行了病毒文件,实现病毒的“先劫持后掉包”的计划. 这是专杀工具 下载地址： http://zhuansha.duba.net/259.shtml 1. 在能正常上网的电脑上登录金山毒霸网站下载AV终结者病毒专杀工具 下载地址： http://zhuansha.duba.net/259.shtml 2. 在正常的电脑上禁止自动播放功能,以避免通过插入U盘或移动硬盘而被病毒感染.禁止方法可以下载Auto病毒专杀工具,其中有禁止硬盘、可移动磁盘自动播放及查杀、免疫优盘的功能. Auto病毒专杀 V2.1 http://soft.studa.com/downinfo/40941.html 3.把“AV终结者专杀工具”从正常的电脑复制到U盘或移动硬盘上,然后再复制到中毒的电脑上. 4. 执行AV终结者专杀工具,清除已知的病毒. 5. 不要立即重启电脑,然后启动杀毒软件,升级病毒库,进行全盘扫描.以清除木马下载器下载的其它病毒. 防范措施 因为AV终结者病毒一旦感染,清除过程相当复杂,可能不少用户就会去重装.我们建议用户不要轻易重装系统,使用我们推荐的步骤完成清除,必要时拨打客服电话,请求支持.请采取以下措施防范AV终结者病毒 1. 使用金山网镖或Windows防火墙,可有效防止网络病毒通过黑客攻击手段入侵. 2. 使用金山毒霸的漏洞修复功能或者windows update来修补系统漏洞,特别需要注意安装浏览器的最新补丁. 3. 升级杀毒软件,开启实时监控 4. 网管采取综合措施防范ARP攻击挂马事件,有关ARP攻击,请参考以下解决方法 方法一： 1、删除 ”病毒组件释放者”程序： “%windows%\System32\LOADHW.EXE” （window xp 系统目录为：“C:\WINDOWS\System32\LOADHW.EXE” ） 2、删除 ”发ARP欺骗包的驱动程序” (兼 “病毒守护程序”)：“%windows%\System32\drivers\npf.sys” （window xp 系统目录为：“C:\WINDOWS\System32\drivers\npf.sys” ） a. 在设备管理器中, 单击”查看”-->”显示隐藏的设备” b. 在设备树结构中,打开”非即插即用….” c. 找到 “NetGroup Packet Filter Driver” 或“NetGroup Packet Filter” ,若没找到,请先刷新设备列表 d. 右键点击 “NetGroup Packet Filter Driver” 或“NetGroup Packet Filter” 菜单,并选择”卸载” e. 重启windows系统 f. 删除“%windows%\System32\drivers\npf.sys” （window xp系统目录为：“C:WINDOWS\System32\drivers\npf.sys” ） 3、删除 ”命令驱动程序发ARP欺骗包的控制者” “%windows%\System32\msitinit.dll” （window xp 系统目录为：“C:WINDOWS\System32\msitinit.dll” ） 4、删除以下”病毒的假驱动程序”的注册表服务项: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Npf 最后重起电脑就可以了~ 方法二： 前阵子,我们公司也中了那个毒!修复一下就行!在命令提示符下键ARP -D 然后再将路由器和本机IP绑定即可解决,如本机IP :192.168.0.100 路由IP为：192.168.0.1 在命令提示符下先键入ARP -D回车 再键入ARP -S 192.168.0.1 "路由MAC"回车 再键入ARP -S 192.168.100 “本机MAC” 即可! 5. 关闭windows的自动播放功能 该病毒的症状是：在除系统盘符下生成autorun.inf文件及一个一串随机数字的可执行文件,在C:\Program Files\Common Files\Microsoft Shared\MSInfo文件夹下产生了相关的dat与dll文件,有的在启动项里加入,有的在CLSID中有写入,注册表很多地方有篡改,尤其是分区的管理命令与Image File Execution Options这个程序定向项.所有根杀毒有关的基本都会屏蔽,杀软被干掉,专杀打不开,就连冰刃也要改文件名才行,说明该病毒是通过文件名与标题名双重判断的,通过unlocker检查发现dll文件挂到了explorer等进程中,如果在ie中输入与病毒相关的就自动关闭. 由于是远程控制的,所以并没有完全按照我所希望的步骤进行的,希望没有遗漏,下面就按照步骤说一下 解决的方案： 1、先关闭系统还原并清除临时文件. 2、用附件1提供的“恢复隐藏”导入注册表,然后在“文件夹选项”下,“查看”标签卡里去掉“隐藏 受保护的操作系统文件”的勾,并选择“显示所有文件和文件夹”,确定. 3、利用资源管理器,注：从现在开始千万不要双击任何的盘符,用资源管理器去打开文件夹,否则可能 前功尽弃,打开d盘,应该会发现一个autorun.inf文件和一个不规则(一串数字有时还有字母)的文件名的 可执行文件,记下该文件名,在此设为x. 4、搜索“autorun.inf”文件,在高级选项里选上“搜索系统文件夹”、“搜索隐藏的文件或文件夹”和“搜索子文件夹”,将搜到的全部删除. 5、搜索“x”（就是刚才记下的文件）,高级选项同上,搜到之后,将各分区下的x全部删除,然后会剩下C:\Program Files\Common Files\Microsoft Shared\MSInfo文件夹下的两个隐藏文件（据其他网友反应还出现过在windows下,我还没遇到过）,一个是dat类型一个是dll类型,这就是元凶,其中dll文件挂到了explorer等进程里,导致只要运行相关程序就被其挂掉,用附件2里面的"unlocker"（解压后先运行绿化）右击后全部解锁,确定解除后,将那两个文件删掉. 6、运行附件3（delold）里的文件,注意不要双击分区盘符. 7、打开运行,输入regedit,打开注册表,搜索x文件名,只要有相关的键值逐一全部删除. 8、再在资源管理器里分别搜索autorun.inf和x文件,只要有的在删除,然后用附件4提供的软件进行全盘免疫,再搜autorun.inf如果出现的变成文件夹了,就没有问题了. 9、一般安全模式进不去,用附件5提供的东西双击导入注册表,就可以进安全模式了. 10、抓紧安装杀毒软件并且升到最新,抓紧时间到安全模式下全盘杀毒. 当然,也推荐用这款软件全盘查杀一下 http://blog.cfan.com.cn/index.php/344881/action_viewspace_itemid_106955 还有用sreng智能修复一下,并删除一下启动项里的相关项,还有usbcleaner和usbkill等再查杀一下,这些都可以通过网络方便搜到,附件大小有限就不一一上传了. 另外,新的发现,有时用unlocker解锁会出现自动加仔explorer的情况,说明该病毒对于explorer进程的自保护控制能力较强,在正常模式下不行的话,可以先用附件5修复安全模式,然后到安全模式重新按照步骤操作,在unlocker那个dll文件的时候可以多试几次,直到完全解开为止.参考资料： http://zhidao.baidu.com/question/29294456.html
希望采纳