汉典已经恢复了,最近点击某些比较正规的网站好像也会中这个毒。
毒源在c:\program files\Internet Explorer\下面,有romdrivers.dll,romdrivers.ddk,romdrivers.bak三个文件。
发作的时候,先把瑞星监控关掉,有时候是变成红伞,有时候是直接把监控进程灭了。
dll文件会利用explorer.exe和浏览器进程加载,所以光看进程是看不出来的。然后从病毒服务器上下一堆木马(主要是exe和dll文件)到temp文件夹,并添加启动项。
注册表中还会添加romdriver.dll相关的项。
查杀只能借助icesword这样的工具。
这个病毒似乎不是多新的病毒,近期发作比较频繁,很多网友也写了杀毒办法,瑞星看看吧,杀毒烦死人。
