这是我从网上找到的相关资料,希望能帮你。
最后再说两个bot类病毒,一个是Rbot变种sysmon32.exe,这个东西最近经常能看到,这里提一下吧。
sysmon32.exe病毒运行后复制自身到系统目录System32\sysmon32.exe,并释放一个Rootkit文件msdirectx.sys到系统目录System32\msdirectx.sys,msdirectx.sys是用来隐藏病毒自身的,包括文件、病毒启动项、服务等信息。如果你感染了这个病毒可以尝试先使用杀毒软件删除掉病毒文件,然后再到注册表编辑器里删除掉HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msdirectx项,最后重启再删除msdirectx.sys。
这里介绍两个我用过的偏门方法:一,可尝试在机器刚启动时就从进程里结束掉sysmon32.exe的进程,刚启动时可能是因为msdirectx.sys还没发挥作用,在进程里能看到sysmon32.exe,可抓住这个机会结束它的进程;二,可先删除/修复sysmon32.exe的启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe sysmon32.exe"
修复之后马上重启机器,因为病毒不是立即就会恢复这个启动项的,需要一点点时间,所以呢如果操作快的话可以在病毒恢复它之前重启机器,如果成功,那么sysmon32.exe就不会在机器启动时自启动了,也就是说重启动后可以直接删除掉病毒文件了。
