关于“在线修复Kaspersky”
今天,在本论坛看到一份因中此毒扫的SRENG日志,内容颇为壮观(
http://bbs.ikaka.com/showtopic-8517714.aspx)。
据说此毒感染非系统分区文件。我的硬盘只有一个分区,因此无法观察中此毒后非系统分区的情况。
对于单分区系统,这个病毒还算比较容易搞掂。
扫SRENG日志可见下列一个加载项和两个服务项:
启动文件夹
[LBLOBK]
<C:\Documents and Settings\All Users\「开始」菜单\程序\启动\LBLOBK.lnk --> C:\WINDOWS\RMXP1XMG.exe [Kaspersky Lab]><H>
服务
[MAJVO0X / RMXP1XMG][Running/Auto Start]
<C:\windows\RMXP1XMG.exe -ANQVT><Kaspersky Lab>
[DPBDH8 / S32AV][Running/Auto Start]
<C:\windows\system32\S32AV.exe -58P2PZ9RQB5Q><Kaspersky Lab>
分别指向下列两个病毒文件:
C:\WINDOWS\RMXP1XMG.exe
C:\windows\system32\S32AV.exe
如果系统中安装了SSM等HIPS,用户会得到提示“存在无规则进程”。此时,将C:\WINDOWS\RMXP1XMG.exe和C:\windows\system32\S32AV.exe两个程序归入 "blocked"组(见附图),进程即刻被终止。
接下来,删除病毒文件及其相应的注册表项即可搞掂。至于被病毒删除的“安全模式”----用工具修复以下即可。
有人说此毒不好处理,除了它感染非系统分区程序外,恐怕是找不到那个隐藏的病毒进程C:\WINDOWS\RMXP1XMG.exe。
这个病毒有两个进程:
C:\WINDOWS\RMXP1XMG.exe----隐藏的。
C:\windows\system32\S32AV.exe----作为系统服务加载。
用户系统信息:Opera/9.27 (Windows NT 5.1; U; zh-cn)
