典型的Rootkit,插入系统核心进程。
处理方法建议:
关闭系统还原
用SSM(具体如何操作参考http://forum.ikaka.com/topic.asp?board=28&artid=8010460)添加规则禁止以下文件加载,并将SSM设为开机自动加载:
D:\WINDOWS\TEMP\qf7j5k.dll
D:\WINDOWS\system327ex0gw0l.sys
D:\WINDOWS\system321lcse5.sys
D:\WINDOWS\system32r0u.sys
D:\WINDOWS\system32mu0.sys
D:\WINDOWS\system32803.sys
用SREng在“启动项目”-“服务”中禁用以下项目:
[Sysm32 Event Notification / Sysm32 Event Notification]
<D:\WINDOWS\Systen32.exe><N/A>
在注册表中展开:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
删除Sysm32 Event Notification项目
重启后删除:
D:\WINDOWS\TEMP\qf7j5k.dll
D:\WINDOWS\system327ex0gw0l.sys(如果还有的话)
D:\WINDOWS\system321lcse5.sys(如果还有的话)
D:\WINDOWS\system32r0u.sys(如果还有的话)
D:\WINDOWS\system32mu0.sys(如果还有的话)
D:\WINDOWS\system32803.sys(如果还有的话)
D:\WINDOWS\Systen32.exe
D:\WINDOWS\Systen32.dll(如果还有的话)
D:\WINDOWS\Systen32Key.dll(如果还有的话)
D:\WINDOWS\Systen32_hook.dll(如果还有的话)
若文件找不到或无法删除文件
打开我的电脑
在工具栏中点击--工具--文件夹选项--查看
勾选“显示所有文件及文件夹”
同时把“隐藏受保护的操作系统文件(推荐)”前的勾去掉
然后再进行查找一下
sys文件如果仍无法删除:
建议重启控住F8,选择进入“带命令行的安全模式”,输入:
attrib D:\WINDOWS\system327ex0gw0l.sys -s -h -r
del D:\WINDOWS\system327ex0gw0l.sys
其他sys文件类似。
