新日志问题少了很多,但仍然有一些可疑内容:
==================================
服务
[Background Intelligent Transfer Service / BITS][Running/Auto Start]
<C:\WINDOWS\system32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\RmmptqC.dll><@ Microsoft Corporation. All rights reserved.>
该服务映像文件正常情况下应为C:\WINDOWS\system32\qmgr.dll,但这里是C:\WINDOWS\system32\RmmptqC.dll,怀疑这个服务的<serviceDll>值项被病毒修改,可以通过将[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ BITS\Parameters]〈serviceDll〉这个注册表值项的数据由C:\WINDOWS\system32\RmmptqC.dll修改为C:\WINDOWS\system32\qmgr.dll实现;
==================================
驱动程序
[d4f876 / d4f876][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\d4f876.sys><N/A>
[HBKernel32 Driver / HBKernel32][Stopped/Boot Start]
<\SystemRoot\system32\drivers\HBKernel32.sys><N/A>
[TKP / TKP][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\DRIVERS\154e><N/A>
以上个人认为是病毒驱动,建议删除。
==================================
浏览器加载项
[]
{74381DEC-D78B-43E4-BA5D-5244F669EBE4} <C:\Program Files\Internet Explorer\PLUGINS\UnixSys08.Sys, N/A>
[BDHlprObj Class]
{CA92B524-BC8A-4610-BD2C-6BD3E28155D0} <C:\WINDOWS\DOWNLO~1\BDHelper.dll, >
[快捷工具条3.1.5]
{BE830FD4-E393-417F-9F4B-CC70ABB3384C} <C:\WINDOWS\system32\IETool.dll, N/A>
[]
{74381DEC-D78B-43E4-BA5D-5244F669EBE4} <C:\Program Files\Internet Explorer\PLUGINS\UnixSys08.Sys, N/A>
[快捷工具条3.1.5]
{BE830FD4-E393-417F-9F4B-CC70ABB3384C} <C:\WINDOWS\system32\IETool.dll, N/A>
[BDHlprObj Class]
{CA92B524-BC8A-4610-BD2C-6BD3E28155D0} <C:\WINDOWS\DOWNLO~1\BDHelper.dll, >
以上个人认为是病毒+流氓创建的一群浏览器加载项,建议删除。
==================================
推荐用冰刃在设置“禁止进线程”创建的情况下,一次性搞定病毒添加的所有注册表启动项(服务、驱动、浏览器加载项)以及其所对应的恶意文件。
