中csrss.exe后
在System Repair Engineer日志中,可以发现
进程
c:\windows\system32\inetsrv\csrss.exe
浏览器加载项
c:\WINDOWS\system32\COMBoHEvent.dll
似乎没什么
实际上,并没有这么简单
在
c:\WINDOWS\system32
其中COMBoHEvent.dll,COMADEvent.dll异常顽固。可以说用尽所有工具与技巧都没有把这们删除。
解决的方法很简单
重启,开机检测完后, 按[F8]键(可以一直按到启动菜单出来为止), 选择安全模式进入Windows
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹"清除"隐藏受保护的操作系统文件(推荐)"复选框。在提示确定更改时,单击“是”,清除“隐藏已知文件类型的扩展名
直接删除
c:\WINDOWS\system32\comadevent.dll
c:\WINDOWS\system32\combohevent.dll
c:\WINDOWS\system32\comevent.dat
cc:\WINDOWS\system32\omeventhelpet.bat
c:\WINDOWS\system32\comeventhelper.dll
c:\WINDOWS\system32\comhelper.local
c:\windows\system32\inetsrv\csrss.exe
c:\windows\system32\inetsrv\kbd101ab.dll
c:\windows\system32\inetsrv\sysoption.bin
c:\windows\system32\inetsrv\update整个文件夹
打开System Repair Engineer(也就是你的扫描日志软件SREng.exe),使用“系统修复,浏览器加载项”来删除以下选项。
c:\WINDOWS\system32\COMBoHEvent.dll
重启便能解决问题
System Repair Engineer这个软件可以到http://www.kztechs.com/sreng/sreng2.zip 下载。
这个病毒有点特殊,我在虚拟机上操作,在正常模式上修复多次,每重启一次,我的主系统上的天网防火墙就会发出警报。属于连续攻击的那种。
样本下载地址:http://mopery.hits.io/Trojan.Delf.nde.zip
by:mopery
