我说下我的方法,我不是专业人士,不一定适用。
这种病毒狡猾的地方是感染文件和正常的win程序名字没任何区别,svchost就是svchost,IEXPLORE就是IEXPLORE,这样我怀疑是每次启动后就感染正常的IEXPLORE程序,然后病毒就隐藏不动(打死也不动),这样杀软查不出,其后利用感染的IEXPLORE程序下栽别的木马,这样杀软只查出一些替罪羊,真正的“教唆犯罪者”隐藏幕后。
目前想的方法就是我先删除IEXPLORE.exe,让此病毒无法感染,这样病毒一直保持活动性,杀软就可查出。步骤是:
1、安全模式下,查杀病毒,(此病毒比较特殊,未必能查出,不要紧)。
2、删除program filie/internet explorer/iexplore.exe(放回收站,不要彻底删除)
3、正常启动,查杀病毒,一般的杀软应该就查出了,估计在system32里。
4、记下病毒名,(我的是一个netmyjs.exe文件)。应该是个exe文件,运行注册表,查找病毒名,删除相关键值。
5、打开服务,根据刚才病毒名,果然开了个后门,禁用此项服务
6、恢复回收站里iexplore.exe文件。
此步骤完成后,发现每过30分钟左右,仍有病毒下栽,但数量大大减少,只有一个,每次都被ewido拦截,病毒名trojan.agent.hw,好象新变种。
此时怀疑还有1个“幕后教唆犯”,另一个估计是隐藏服务。
用冰刃监控,无发现,用winpatrol,发现服务svchost,和正常程序文件名没不同,唯一的不同是在winnt目录下和temp,正常的应该是winnt\system32下,好了,此项服务禁用,然后搜索,除了winnt\system32下的,其他全部删除,然后查注册表,路径非winnt\system32下的 svchost键值,(注意,名字完全一样,容易看花眼的)。在过程中,winpatrol要一直开着,因为会再次加服务的,提示加服务就阻止。
最后补充,清除过程可能需重复多次。
