哈哈,猫叔发这个帖子的时候,我刚刚好正在同学的电脑前对付这个东西。不过因为他的卡巴在被劫持之前宰了不少下载下来的文件,他一发现狂报警又及时断网,所以他那里服务没创建,lsass.exe也没被插入。
回来后自己运行了一下,才发现如猫叔所说它下载N多东西。本来想写帖,现在上来看猫叔刚好写了,我就不用忙活了,呵呵。
病毒进程互相守护,好像是通过创建互斥体来监视的。
对于这种的方法,除了用IceSword禁止进线程创建再结束进程外,还可以用(也就是我刚才用的方法)Process explorer,先把两个进程都挂起(右键suspend),然后再依次结束。
还有重要一点,
这两三个nwiz****.dll,如果运行成功,会创建启动项的,而且此项目SREng还扫不到,autoruns可以扫到,在
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\(相应的CLSID项目)]
创建stubpath键,指向自身文件。