这个病毒,我研究了一下,最主要的文件就是 MSWDM.EXE 。我没有研究它的原代码,但是所有的病毒的产生都是由它一手造成的。如果是windows XP 系统,那么在 c:\windows\system32 下能找到它。 2000系统的话,在 c:\winnt\system32 下能找到它。
这个病毒可以说无所不用其极,它修改可执行文件的关联,还修改HOSTS文件,将大多数门户网站修改为一个固定IP,在后台启动 IE 浏览器做鬼鬼祟祟的事情。
在杀毒之前大家最好有3件武器在手,第一:hjackthis ,扫描系统之利器。第二:可以修改文件关联的软件,我用的是 全能助手Windows优化王 ,它不只能修复文件关联的问题,它还有很多其他的功能,是一款不错的软件。第三:系统进程监视的软件,这里推荐大家用 IceSword ,不但可以发现隐藏的系统进程,还可以监视系统进程的创建。好了,如果3件武器都有了,那么我们就可以杀毒了。
首先,清除我上篇文章里说的各种文件,如果有个别清除不了的,用hjackthis 1.99.1版本里带的KillBox清除之。
然后,修改可执行文件的关联,有一个文件叫 EXERoute.exe ,正常的系统是没有它的,如果大家在c:\winnt 或者c:\windows 下发现它,就说明你的可执行文件关联被它修改了,用优化王或者其他的软件修改过来。如果大家手头没有这样的软件,可以通过注册表直接修改过来,路径如下:[HKEY_CLASSES_ROOT\exefile\shell\open\command]
病毒将它修改成@="\"EXERouter.exe %1\" %*"
正确的值应该是:
@="\"%1\" %*"
大家在杀毒的时候一定要将icesword打开,显示系统进程,随时刷新,如果看到有可疑进程立刻结束。
这个病毒在进程里常出现的进程就是 foxrar.exe 和 IEXPLORE.exe 这两个。他们都是隐藏的,不用类似icesword这类的软件是不能发现的。
最后,将注册表里的病毒启动项目全都用 hjackthis 修复。观察一下 c:\winnt\temp 或者 c:\windows\temp 下是否自动生成扩展名为tmp的文件。
补充:在上一篇我忘了还有一些病毒文件的名字。
1.com : 在c:\winnt 或者 c:\windows 下 。
EXERouter.exe : 在c:\winnt 或者 c:\windows 下。
WINLOGON.exe : 在c:\winnt 或者 c:\windows 下。
还有一些病毒文件的名字,我记不清了,一会我在感染一下病毒,把这些名字都记录在案,给大家发上来。