我的电脑在5月29号左右中了病毒,表现为C,D等各盘双击打不开,从地址栏中进入后发现有msdn.pif和autorun.inf文件,日期被改为2004年,
卡卡发现了8个木马,主要在system32下的explorer中和windows下的svchost中。说是重启删除病毒,但删不掉。我找了
一个下面的批处理文件
@echo on
taskkill /im explorer.exe /f
taskkill /im wscript.exe
start reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXplorer\Advanced /v ShowSuperHidden /t REG_DWORD /d 1 /f
start reg import kill.reg
del c:\autorun.* /f /q /as
del %SYSTEMROOT%\system32\autorun.* /f /q /as
del d:\autorun.* /f /q /as
del e:\autorun.* /f /q /as
del f:\autorun.* /f /q /as
del g:\autorun.* /f /q /as
del h:\autorun.* /f /q /as
del i:\autorun.* /f /q /as
del j:\autorun.* /f /q /as
del k:\autorun.* /f /q /as
del l:\autorun.* /f /q /as
start explorer.exe
执行后可打开各盘,又粉碎了system32下的explorer.exe,用dllcache下的explorer.exe
替换了windows下的同一文件。之后电脑大致正常。之后又下载了windows清理助手杀出了几个木马。
但下载了system repair engineer运行后,立刻提示API HOOK检测发现四个入口点错误,
API名字分别是NetCreatFile,NetWriteFile,ZwCreatFile,ZwWriteFile;危险级别都是高;被两个目的地址分别是0x003D42A5和0x003D4345的未知模块HOOK.
不知这是不是说明还有其它病毒和木马。
现在把用智能扫描得到的日志附上,希望能得到您的指点。
附件: SREngLOG.log (2008-6-2 13:18:08, 51.84 K)
该附件被下载次数 68
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727)
