wanghaizhao - 2006-4-6 8:52:00
开机时老显示:LOADHW文件无法打开
我在机器里找不到这个文件,在注册表中把相应的键值都删除了,开机后又出现
在msconfig里也没有这个文件为什么呀
求解谢谢
不言放弃 - 2006-4-6 9:03:00
【回复“wanghaizhao”的帖子】
这是BookStore.trojan
该木马一共有三个文件,分别是:
\System32\LOADHW.EXE
\System32\msitinit.dll
\System32\drivers\npf.sys
LOADHW.EXE是一个安装文件,在会把自己注册在:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
如果它被删除掉,并不影响木马的运行,只是在开机时会报该文件不存在。
msitinit.dll是常驻内存的,插入了explorer.exe进程
npf.sys注册为一个服务程序,且在“控制面板->管理工具->服务”中看不到,要在注册表中才能看到:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Npf
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTF它负责在启动时将msitinit.dll调入内存,以及一些其它操作。
===============
操作参考:
http://forum.ikaka.com/topic.asp?board=28&artid=6979213
下载后打开IceSword
在工具栏中点击--文件--设置
勾选“禁止进线程创建”
然后结束explorer.exe进程
删除msitinit.dll
进入注册表
搜索npf.sys
找到后删除其所在的系统服务文件夹
删除npf.sys
注意:上述操作可以全部由IceSword来完成!!
© 2000 - 2026 Rising Corp. Ltd.