早上打开电脑就觉得开机加载桌面项的时候比平常慢了许多,我的电脑打开也变慢了。还会自动弹出网页。我的NOD32提示有可以文件,看来是被流氓了。由于是公司电脑,肯定是晚上有MM加班的话会用我电脑看电影。
先看下揪出来的流氓崽子,如图:
对付流氓嘛,咱按步子走:
1 控制面板
能卸载的卸载
2
启动项加载:c:\windows\winampa.exe 删除
3
注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit:多了C:\WINDOWS\system32\pansos.exe 删除
HKEY_CLASSES_ROOT\CLSID\{881F6F06-4620-4070-AD05-BD77D4C56661} 删除
HKEY_CLASSES_ROOT\TypeLib\{F63B08CD-3645-474F-8872-BA4293251FF9} 删除
4 系统服务
在system32下看得一个 COMEventHelper.bat
内容:
@echo off
:loop
net stop COMEventHelper
del c:\windows\system32\COMEventHelper.dll
if exist "c:\windows\system32\COMEventHelper.dll" goto loop
copy c:\windows\system32\Update\COMEventHelper.dll c:\windows\system32\COMEventHelper.dll
del c:\windows\system32\Update\COMEventHelper.dll
net start COMEventHelper
del %0
COMEventHelper 这就是流氓服务了,删除 再删除 c:\windows\system32\COMEventHelper.dll
5 恶意进程
c:\windows\system32\inetsrv\csrss.exe 结束掉
同目录地下也有个bat批处理文件,被我不小心删除,没留下样本。大致是安装方式。
注册表搜索 csrss.exe 关键词,对应路径c:\windows\system32\inetsrv\ 删除即可
6 dll
c:\windows\system32\Rundl132.dll
c:\windows\system32\browsewmzero.dll
c:\windows\ODBINT.dll
这几个dll是插入explorer.exe 进场加载的,直接枚举explorer进程模块,卸载它们。
也可以关闭explorer进场 命令行下 regsvr32 -u c:\windows\system32\Rundl132.dll卸载dll模块
7 驱动项
那是中文上网客户端的一个驱动项,可以直接卸载的。重启后就没了。
手工的话,用EST-EvilHsu.exe(邪恶八进制出的一款工具,可以管理驱动项)
8 几个文件
COMEventHelper.txt 这是在临时文件夹里揪到的,虽然是txt后缀,但我看源文件其实是个可执行文件。
c:\windows\winampa.exe、c:\windows\system32\inetsrv\csrss.exe 这两个最近帮人杀毒常遇到,著名流氓了
9 选择几个可执行文件打包,上报病毒。
10 重启再次检查,ok
再用组策略免疫下,免得再被流氓
