C:\WINNT\System32\LOADHW.EXE
C:\WINNT\System32\msitinit.dll
C:\WINNT\System32\drivers\npf.sys
LOADHW.EXE是一个安装文件,在会把自己注册在:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
如果它被删除掉,并不影响木马的运行,只是在开机时会报该文件不存在。
msitinit.dll是常驻内存的,但注册表中并没有记录它(很狡猾)。
npf.sys注册为一个服务程序,且在“控制面板->管理工具->服务”中看不到,要在注册表中才能看到:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Npf
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTF
它负责在启动时将msitinit.dll调入内存,以及一些其它操作。
用WinPatrol软件中CAT将这三个文件都列入黑名单(不然msitinit.dll会在开机时驻进内存而无法删除),重启电脑,删除这些文件和相应的注册表记录
C:\WINDOWS\system32\wbem\IRJIT.dll清除方法:
(1)开机按F8,进入安全模式,删除Windows目录下的 system32\wbem\irjit.dll
(2)禁用Windows Install Helper服务,如果有的话。
(3)打开注册表(开始运行regedit),查找并删除所有irjit.dll相关的键值
C:\WINDOWS\KB759761.LOG进入安全模式``找到病毒文件``直接删```
C:\WINDOWS\75976.DLL
C:\WINDOWS\Q73505.LOG
C:\WINDOWS\Q82511.LOG
这三个不知道了..另请高明吧!
