木吉他

最近，有大量网友反映在安装或打开一些程序的时候，出现 NSIS Error 错误提示，这种情况很容易让人误会是系统出现了错误，或仅仅是该程序安装文件损坏的原因。但是，如果仅仅是程序安装文件损坏的原因，那不可能每次下载的文件都是损坏的，而且不是某一个程序才会这样。如果是系统错误的原因，那又是什么原因呢？经过和大量的出现这种故障的电脑接触，笔者终于明白这种情况是怎么一回事了。下面通过两个实例把这种情况作一个详细的分析。

实例一：被感染的360安装文件

该网友说他老是碰到 NSIS Error 错误提示,我要他安装一个360安全卫士扫描一下看看。他说装不了，安装的时候也出现这种提示。这就奇怪了。于是我提醒他去官方网站下载一个干净的来安装。他照办了，谁料下了之后说还是不能安装。有这么神奇的东西？我就不相信。我叫他发过来刚才下的那个文件给我。接到后，一扫描，没有病毒。于是安装，好家伙，刚一装上马上就弹出同样的 NSIS Error 错误提示框框了，同时费尔报警发现了好几个病毒。原来如此，这些文件一下载回来，马上就被病毒感染了~~如下图1

于是查看中毒机的进程，发现进程 中有病毒进程avp.exe，C盘下面也有avp.exe这个文件，如下图示2。注意：杀毒软件卡巴斯基的进程也叫avp.exe，注意分分辨。病毒进程avp.exe位径位于c:\ 也就是C盘根目录下面。

实例二：C盘出现avp.exe+winsys.exe病毒文件

这起出现NSIS Error 错误提示的病毒查杀过程差不多。进入到C盘，可以发现C盘多了两个病毒文件，avp.exe+winsys.exe，如下图3。不过这台电脑感染的病毒文件比前面的多，随便抓了几个，如下图5



病毒行为分析，依顺序为：

1——avp.exe运行后，首先运行应用程序 （Explorer.EXE）

2——修改其它进程内存（iexplore.exe）

3——由iexplore.exe创建病毒文件： c:\Program Files\ver.txt

4——ver.txt创建文件： C:\WINDOWS\system32\wincom.exe

5——wincom.exe安装服务或者驱动（调用services.exe）

6——wincom.exe创建文件： C:\winsys.exe+C:\winsys.inf+C:\winsys.sys

7——wincom.exe运行应用程序 winsys.exe

8——winsys.exe拷贝文件到 C:\WINDOWS\system32\DRIVERS\winsys.sys

9——调用services.exe安装服务或者驱动winsys.sys

10——c:\winsys.exe对注册表进行一系列修改删除创建操作

11——wincom.exe删除文件 C:\winsys.exe+winsys.inf+winsys.sys

12——iexplore.exe创建文件C:\ver.txt



杀毒的方法：

杀掉进程avp.exe和wincom.exe，再删除以下文件（如果找得到的话）：



C:\WINDOWS\system32\wincom.exe

c:\Program Files\ver.txt

C:\WINDOWS\system32\DRIVERS\winsys.sys

C:\winsys.exe

C:\winsys.inf

C:\winsys.sys

C:\ver.txt

C:\avp.exe

然后再用360安全卫士和杀毒软件全面扫描，基本上就可以了。