瑞星卡卡安全论坛

首页 » 技术交流区 » 系统软件 » 【求助】symon32.exe不见了,该怎样找回?
jorsy - 2005-7-23 18:00:00
我的系统是WIN XP的,前段时间用瑞星杀毒时杀掉了这个文件(当时发现sysmon32.exe感染了病毒),后来再次启动系统时,每次都提示找不到sysmon32.exe,求助各位大侠该如何才能找回丢失的sysmon32.exe。
£光芒£ - 2005-7-23 18:06:00
我个人认为你不用找了,那应该是病毒文件。我的电脑里没有那个程序。解决方法,开始-运行-msconfig-启动-找到关于sysmon32.exe的项-去掉前面的对构。然后开始-运行-regedit-编辑-搜索-查找sysmon32,找到相关项删除。
£光芒£ - 2005-7-23 18:08:00
这是我从网上找到的相关资料,希望能帮你。

最后再说两个bot类病毒,一个是Rbot变种sysmon32.exe,这个东西最近经常能看到,这里提一下吧。
sysmon32.exe病毒运行后复制自身到系统目录System32\sysmon32.exe,并释放一个Rootkit文件msdirectx.sys到系统目录System32\msdirectx.sys,msdirectx.sys是用来隐藏病毒自身的,包括文件、病毒启动项、服务等信息。如果你感染了这个病毒可以尝试先使用杀毒软件删除掉病毒文件,然后再到注册表编辑器里删除掉HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msdirectx项,最后重启再删除msdirectx.sys。
这里介绍两个我用过的偏门方法:一,可尝试在机器刚启动时就从进程里结束掉sysmon32.exe的进程,刚启动时可能是因为msdirectx.sys还没发挥作用,在进程里能看到sysmon32.exe,可抓住这个机会结束它的进程;二,可先删除/修复sysmon32.exe的启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe sysmon32.exe"
修复之后马上重启机器,因为病毒不是立即就会恢复这个启动项的,需要一点点时间,所以呢如果操作快的话可以在病毒恢复它之前重启机器,如果成功,那么sysmon32.exe就不会在机器启动时自启动了,也就是说重启动后可以直接删除掉病毒文件了。
蓝色景天 - 2005-7-24 9:11:00
学习了楼上的经验!谢了!
jorsy - 2005-7-30 12:58:00
感谢各位大侠的帮忙,问题已经解决了。
1
查看完整版本: 【求助】symon32.exe不见了,该怎样找回?