mmtask1.dll,mscat1.dll,mci321.dll三个被注入了,可能还有其他木马。
1.断网,进安全模式
2.删除system32\drivers\proc.sys
3.查找下列文件,有则删除之。
system32:mscat.dll, mscat1.dll, mci321.dll, mci32.dll, mmtask.dll, mmtask1.dll
Program Files\Common Files\System:tmp01.tmp----tmp05.tmp, tmp0*.tmp.ini, *.acm
C:\SEHLog.txt,C:\PopAd.txt
全盘找找~tmp032434.exe
4.注册表:SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows,看AppInit_DLLs里面有没有mscat.dll,有则删除之
5.非必须,在system32\drivers\etc\hosts文件中,添加ahead.safedown.cc,解释成一个错误地ip,比如本机127.0.0.1。该木马要访问该网站,但是我访问不了,奇怪。不建议尝试~~!
--------------------------------------------------------------------------------------------------------------------------------------------------
还没分析完,明后天可以再去这里看看有没有更新的方法。
http://hi.baidu.com/coding_hello/blog/item/a7a797c341524957b319a893.html
