前两天杀毒玩,几个系统文件不幸了,当时没注意,直接给删了,后来一开机就告诉我具体如下:
找不到文件c:\windows\sws32.exe
(出现两次)不能引入c:\windows\system32\$win32$\win32sql.cer
偶不太懂,请大虾指教,这是怎么回事,删的那几个文件到底是干嘛地?!
sws32据说好象是木马的捆绑文件.
打开注册表找这个注册键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\RunOnceEx
在右面的窗口中检查有没有“sws32.exe”这个键值,若有则删除。
再检查注册表中这个注册键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
找到后再右面窗口里把一个叫“Shell”的注册键的键值从:
Explorer.exe C:\WINDOWS\sws32.exe
改成:
Explorer.exe
退出注册表后重起一下电脑。
sws32.exe:
WINDOWS下的传奇木马程序。请以瑞星杀毒软件最新版在安全模式下扫描全盘并杀毒即可解决。注意将系统打上补丁,上线时开启反病毒实时监控并拒绝使用非法外挂 http://product.tech.sina.com.cn/2003/virusfaq/index.html?page=187
win32sql.cer:
病毒俗称:365ww.com恶意网站病毒
病毒学名:WIN32SQL 脚本病毒
染毒后的现象:
该病毒恶意修改主页,使其链接到www.365ww.com,浏览该网页又会感染该病毒。该病毒还会产生两个文件,一个是注册表文件,一个是脚本文件,他们会修改注册表,修改浏览器的设置,并会在每次启动时运行自身,一般的IE恢复工具无法清除。
病毒详细信息:
365ww.com恶意网站病毒(win32sql 脚本病毒)恶意修改浏览器的设置,使浏览器自动链接到www.365ww.com网页,使用户无法正常使用电脑!染毒后将在c:\windows\system32\$WIN32$下产生WIN32SQL.cer,WIN32SQL.vbs文件,它们修改注册表,c:\windows\win.ini,并且使系统每次启动时运行它们。
格盘吧~重装系统!