system.exe这病毒或木马怎么干掉?
不说废话。现在症状是每个盘根目录下都有AutoRun.inf,AutoRun.vbs,system.exe3个文件,
注册表里也有这3个文件的项,直接删掉后马上重新生成,用冰剑试了下也是删不掉。
此外C:\WINDOWS\system32目录下有system.exe以及大量病毒下载的dll和exe文件。
任务管理器里暂无可疑进程,网上一些帖子说要先删除drivers目录下的HBKernel32.sys或HBService32.sys,
不过我的目录下找不到这2个文件。
求大能指教,明天开市前一定得修好 本帖最后由 ch23 于 2009-9-21 22:15 编辑
任务管理器是没什么意义了,看到那么多EXE和DLL就知道是DLL注入进程,如果用System Repair Engineer的日志还能看到那些进程下一堆的DLL,而且搞不好其他文件夹比如TASKS、fonts都有。这些倒简单,纯随机字母数字加今天生成日期就知道了,用icesword可以轻松删。不过这些只是盗号木马,下病毒的那文件没找到也没意义。还有就是查看一下最近最容易被病毒替换的comres.dll,system32下的应该是600多K的,替换后可能是20多K。
注册表删除是最后一步了,这类病毒都会监视的,删除还会出现
这种病毒的变种有不少,有靠驱动的,有靠VBS的。靠驱动的用System Repair Engineer可以看出来,靠VBS的只能手动检查了。
发个System Repair Enginee的日志上来吧,如果有还有时间的话 插个winpe U盘手动一下就好了 刚才安全模式下用System Repair Enginee试着删除,还是又立刻生成了。
而且可能误删了一些文件,一登录进桌面就自动注销。迫不得已只好重装系统。当然病毒依然还在。 comres.dll是221k,还未遭毒手。 221K就是遭毒手了,600k左右才是正常的,看看system32\\DLLCACHE下的是不是600K左右的,是的话覆盖221K的
System Repair Enginee的日志是要在正常模式下扫的,安全模式下很多都扫不到,所以只看到C:\\WINDOWS\\system32\\syste2.dll这个问题文件和WINDOWS\\system32\\Drivers\\pcidump.sys这个病毒的驱动,给个参考的http://www.newjian.com/zuixinbingdu/2009/0918/4416.html
如果重装系统的话,重装后用地址栏进C、D、E、F盘删除那三个文件应该不会中招的 刚才安全模式下用System Repair Enginee试着删除,还是又立刻生成了。
而且可能误删了一些文件,一登录进桌面就自动注销。迫不得已只好重装系统。当然病毒依然还在。 ...
LIUSU 发表于 2009-9-21 22:31 http://bbs.saraba1st.com/images/common/back.gif
既然可以重装系统
那么重装系统后请不要双击D E F之类的盘符来进去
请用资源管理器的左边树形来进 D E F 分区
否则你再怎么装都是没用的
然后清理掉D E F分区的病毒 comres.dll确实遭毒手了。
谢谢楼上几位兄弟,用重装不双击的法子灭掉了。
先删根目录下的3个文件,然后注册表搜到6个AutoRun.vbs都删掉,重启后搞定。
页:
[1]