杀了又有```老出来 烦死了```
怎么免疫啊?
參考答案:昨天机器中了毒,不太在意,今天用ghost恢复了一下C盘,以为高枕无忧了!
结果到晚上11点的时候发现机器有异常反应,查看任务管理器,发现多了几个进程,
和昨天的一样,回想起昨天也是在11点左右时中的毒,晕啊!
在目录"C:\WINDOWS\system"下:
IceHBO.dll
icedata.dat
SYSTEM32.tmp
updata1.exe
jwm.exe
wo2.exe
mhh.exe
ztt.exe
conime.EXE
internet.exe
在“C:\WINDOWS\system32”下
windhcp.ocx
Cnscheck100.dll
在C盘根目录下有n多的后缀名为sqm的文件
在“C:\WINDOWS”下还有个BMP文件非常可疑!
在“C:\Documents and Settings\***\Local Settings\Temp”中
mhs.exe
edq7spg.dll
mhs.dll
packet.dll
wanpacket.dll
npf.sys
tru**.tmp
更为关键的是我用icesword查看进程,发现有个relpop.exe文件在
“C:\Documents and Settings\***\Local Settings\Temp”中,
但是在该目录下并没有该文件,看来是运行后自我删除了!疯狂!
可以肯定的是该疯狂病毒在其他分区里隐藏了副本,这样仅仅恢复
系统分区根本就没有用了!郁闷!
解决方法讨论:
Cnscheck100.dll会注入所有exe文件,你只ghost了C盘没有用,D盘等的exe文件都已经被感染了,只要运行就会重新加载病毒
病毒创建如下启动项目
注册表
[ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run]
<Internet><c:\windows\system32\internet.exe /scan> [N/A]
<relpop><c:\windows\system32\relpop.exe>[N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{9A0CFC58-5A6F-41ba-9FFE-4320F4F621BA}><C:\WINDOWS\system32\Cnscheck001.dll> [N/A]
<{9A0CFC58-5A6F-41ba-9FFE-4320F4F62FB1}><C:\WINDOWS\system32\Cnscheck100.dll> [N/A]
internet.exe与CNScheck***.dll 是互相守护的
清除方法:
1、进入安全模式 重启计算机 按F8选择进入....
2、打开工具SRENG,按 ctrl+alt+del 打开任务管理器,结束进程 Explorer.exe
3、用SRENG清除如上的注册表启动项和那些病毒的相关项
删除病毒创建的ShellExecuteHooks信息
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{9A0CFC58-5A6F-41ba-9FFE-4320F4F62FB1}"=""
[HKEY_CLASSES_ROOT\CLSID\{9A0CFC58-5A6F-41ba-9FFE-4320F4F62FB1}]
4、删除那些病毒文件