本文的眼:SVCHOST.EXE,RUNDLL32.exe,SMSS.EXE三个文件,从文件名来看正常的XP(NT系统)都有,但他们应该在 systemroot\system32\下。(systemroot XP表示默认安装路径 C:\windows, NT或者2000为c:\winnt) 由于看到了威金遗留文件,因此建议该中毒者进行系统复查 是否有威金感染的EXE文件存在。C:\WINDOWS\system32\windds32.dll 怀疑与本博很久以前提到的windhcp.ocx是变种或者类似的文件。
一、问题的提出及日志 http://zhidao.baidu.com/question/18042200.html
二、分析解决:
1. 杀毒前关闭系统还原(Win2000系统可以忽略):右键 我的电脑 ,属性,系统还原,在所有驱动器上关闭系统还原 打勾即可。
清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点“删除文件”按钮 ,将 删除所有脱机内容 打勾,点确定删除。
2.用强制删除工具 PowerRMV 下载地址: http://post.baidu.com/f?kz=158203765
分别填入下面的文件(包括完整的路径) ,勾选“抑止杀灭对象再次生成”,点杀灭 有找不到提示的请忽略
C:\WINDOWS\235780M.BMP
C:\WINDOWS\RUNDLL32.exe
C:\WINDOWS\SVCHOST.EXE
C:\WINDOWS\SMSS.EXE
C:\DOCUME~1\ts-09\LOCALS~1\Temp\mhs2.exe
C:\DOCUME~1\ts-09\LOCALS~1\Temp\rxzs.exe
C:\DOCUME~1\ts-09\LOCALS~1\Temp\wlzs.exe
C:\DOCUME~1\ts-09\LOCALS~1\Temp\zts2.exe
C:\WINDOWS\system32\windds32.dll
C:\WINDOWS\system32\windhcp.ocx
(注意 ts-09是具体的用户名 有可能也是 teyqiu ,Administrator,王小丫等)
3. 用工具 SREng 删除如下各项
下载及其使用方法看下面的链接,看懂再下手操作!
http://hi.baidu.com/teyqiu/blog/item/f706213fc52346ec54e72351.html
【如下操作有风险,必须看懂上面的方法再操作。】
启动项目 -->注册表 的如下项删除
<wsvbs><C:\WINDOWS\RUNDLL32.exe> [N/A]
<cmdbcs><C:\WINDOWS\SVCHOST.EXE> [N/A]
<mhs2><; C:\DOCUME~1\ts-09\LOCALS~1\Temp\mhs2.exe> [N/A]
<run1132><; C:\WINDOWS\SMSS.EXE> [N/A]
<rxzs><; C:\DOCUME~1\ts-09\LOCALS~1\Temp\rxzs.exe> [N/A]
<wlzs><; C:\DOCUME~1\ts-09\LOCALS~1\Temp\wlzs.exe> [N/A]
<zts2><; C:\DOCUME~1\ts-09\LOCALS~1\Temp\zts2.exe> [N/A]
编辑 不是删除 注意。
<AppInit_DLLs><235780M.BMP> [N/A]
编辑为 <AppInit_DLLs><>
==================================
启动项目 -->服务-->Win32服务应用程序 的如下项删除
[Win32 Display Driver / Win32DDS][Stopped/Auto Start]
<C:\WINDOWS\system32\rundll32.exe windds32.dll,start><Microsoft Corporation>
[Windows DHCP Service / WinDHCPsvc][Stopped/Auto Start]
<C:\WINDOWS\system32\rundll32.exe windhcp.ocx,start><Microsoft Corporation>
4 用下文推荐的专杀工具清理其他受到感染的EXE文件
http://hi.baidu.com/teyqiu/blog/item/bd8aa97731568f1bb051b928.html
5 最后用 下文推荐的工具清理(第四个) 把能检测到的全选后点清理(删除)参考
http://post.baidu.com/f?kz=149133630
