注意:卡巴斯基和AVG都无法发现这个病毒。
病毒进程mssys32.exe,结束进程以后会立刻在加载。病毒是在windows/system32下面,文件名就是mssys32.exe。比较具有欺骗性的是文件图标为“微软证书”的样子,而且公司表示均和其他微软的文件一样。而且结束进程删除以后立刻又出现。并且每次重启或者启动IE都会加载。
经过检查发现病毒是在internet的临时文件夹里,名字为sys32.EXE,图标仍是“微软证书”的样子。每当删除system32下面的病毒文件,病毒就是从这里复制的。右键属性发现有个网址“http://mybtdown.com/sys32.exe”估计就是从这里下载的。也就是在删除了病毒每次上网都会下载这个文件。
用tuneup看了以前启动项目,里面多了2个项目,而且公司标识都是microsoft。在注册表里查找sys32,会发现有两个键值。(忘记看具体是那里了,反正能搜索到)一个目标windows/system32/mssys32.exe;另外一个是windows/system32/mshtmll.dll。(比正规文件多了一个L)
现在大概能猜出来病毒怎么工作了,每次开机或者启动IE,只要能够上网,病毒就自动从上面的网址下载并且存放在internet临时文件夹里,同时复制到system32下面并加载启动项目。进入安全模式,删除注册表的键值,在system32下面删除mshtmll.dll和mssys32.exe,在internet临时文件夹下面删除sys32.exe,顺便清理一下启动项目。重启以后正常,至少到现在我没发现还有残余……
病毒的危害相对不大,减慢系统速度。即使不打开IE也不断的弹一些窗口。比较头疼的是卡巴斯基和AVG以及其他一些清理流氓软件的工具都无法发现并且删除。
中午的时候一下不小心中招,弄了快3个小时才清理完。希望对你有帮助。
