看起来它创建的文件和项目很多,似乎很不好清除。其实不然,因为它没有注册表守护,这是它的缺陷。
在C:\WINDOWS\Download\svhost32.exe进程在运行之时,仍然可以直接删除病毒创建的上述项目,不得不说它在这方面还是“软柿子”。
处理方法:
用任务管理器结束进程C:\WINDOWS\Download\svhost32.exe
(这一步也可不要,因为即使不结束此进程也可以处理以下注册表,但是对于有注册表守护的木马则必须先结束进程)
用SREng,打开“启动项目”-“注册表”
删除以下项目:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<xy><C:\WINDOWS\Download\svhost32.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{9A0CFC58-5A6F-41ba-9FFE-4320F4F62F1A}><C:\WINDOWS\system32\Cnscheck010.dll> []
<{9A0CFC58-5A6F-41ba-9FFE-4320F4F621BA}><C:\WINDOWS\system32\Cnscheck001.dll> []
<{9A0CFC58-5A6F-41ba-9FFE-4320F4F62FB1}><C:\WINDOWS\system32\Cnscheck100.dll> []
双击以下项目:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><KB481354M.LOG> []
将“值”一栏中的KB481354M.LOG删除,也就是将键值还原为空。
说明:系统默认这一项的键值为空,但是某些正常软件也会修改这个键值,比如我的虚拟机装的TPF2005,所以要按具体情况来处理,不过一般是改为默认的空值。
然后,重启电脑
打开“我的电脑”,点“工具”-“文件夹选项”-“查看”
选择“显示所有文件和文件夹”
并把“隐藏受保护的操作系统文件(推荐)”一项前面的勾去掉
最后也把“隐藏已知文件类型的扩展名”前面的勾去掉
然后找到并删除文件(确切地说是病毒的“尸体”),如图3。
清空IE临时文件夹和temp文件夹。
说明:
楼上的图,My Document/Download/Programs文件夹里新添的东西,是IDM截住的,实机里面应该在临时文件夹里。
后来qqbeau帮我测了一下,两相对比,有新发现:
前面两个(一个dll,一个bmp)名称应该是随机的,xydll.dll这个文件名也不是一成不变的。
ShellExecuteHooks项目下,可能还会有其他的病毒文件占据,如果有,与Cnscheck010.dll等同样处理。当然,也要分辨清楚,同一项目有些键是正常软件创建的,要注意区别。
还可能会有个Rootkit:C:\WINDOWS\system32\drivers\npf.sys
处理方法:
在注册表展开
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
删除npf项目
重启后删除C:\WINDOWS\system32\drivers\npf.sys
当然,也可以用SREng在“启动项目”-“服务”-“驱动程序”中删除注册表项。
可能还会有其他的垃圾,这方面各人运行状况可能不同(因为它具有连网下载其他病毒文件的性质)。所以建议,找到一部分文件之后,按这些病毒文件的修改时间进行搜索,找到所有当天创建或修改的文件,其中与已知病毒文件创建时间相同的文件应同为病毒文件。
在此多谢qqbeau老乡帮忙
SREng,即System Repair Engineer,下载地址http://www.kztechs.com/sreng/sreng2.zip