| 引用: |
【笑笑哥哥的贴子】嗯,最新发现....
一运行被感染的EXE文件。IE就加载一个51导航的加载项。还好我一直是禁用它的。
然后我用恶意软件清理RogueCleaner删除。再运行感染的EXE文件。又会出来51导航的加载项
版主在运行的时候要注意了。
……………… |
它在windows下生成一个文件(cnt.exe )
然后又调用下面这个dll 文件~(并生成一个51导航的加载项~)
父级进程:
路径: C:\WINDOWS\cnt.exe
启动
子级进程:
路径: C:\WINDOWS\system32\regsvr32.exe
信息: Microsoft(C) Register Server (Microsoft Corporation)
命令行:Regsvr32.exe /s C:\windows\system32\browsewmzero.dll
C:\WINDOWS\cnt.exe 你找到这个文件,并跟据它的创建日期查找生成的其它文件.
你用SSM禁止cnt.exe运行~禁止browsewmzero.dll被任何程序调用~
删除它们的文件~(但暂时不要删除那些被感染的,以防止系统无法正常运行~~)
如果你有Icesword 可以用它查看下 Explorer.exe的模块中,有没有这个这个 dll插入~(如果有,卸除即可~)
删除这两个文件(如果还找到其它文件,你可以确定的病毒文件,)
然后用Autoruns.exe去掉这个DLL运行项(在这个软件中可以看到,并可以清除,(在这里清除的是它的注册表中的东西~)
以上可能用到的工具的链接如下~~
Icesword
http://www.blogcn.com/user17/pjf/index.html
ssm
http://www.syssafety.com/files.html
Autoruns.exe(下帖9楼)
http://forum.ikaka.com/topic.asp?board=28&artid=6979213
