从pe_xscan 的 log上看,这个AV杀手使用的招术与
使用映像劫持,ARP欺骗,autorun.inf等技术的AV杀手mgemtjk.exe,sb.exe,qodwjay.exe,smsovct.exe等1
http://endurer.bokee.com/6595295.html http://blog.nnsky.com/blog_view_266928.html http://blog.sina.com.cn/s/blog_49926d910100859d.html
相似,不过多了两招:
禁止复制/粘贴
感染explorer.exe
先下载 对付感染型的恶意程序一向表现不错的 DrWeb CureIt! 备用,到 http://endurer.ys168.com 下载 IceSword,HijackThis,到 http://endurer.ys168.com 下载 FileInfo 和 bat_do,然后断开网线。
打开注册表编辑器 regedit.exe,删除 O23、O24、O26 对应的项目。
运行IceSowrd,也被恶意程序模拟按键关闭了。
运行HijackThis,打开内置的进程管理工具终止恶意程序进程,不过终止后又重生了。
于是用 HijackThis 先修复 F1、F2、O1、O2、O4 项。
用FileInfo提取log中红色显示的文件的信息,然后把这些文件加入bat_do,打包备份后,延时删除~
运行 DrWeb CureIt! 扫描,首先提示 explorer.exe 被感染,选择了修复操作……后来DrWeb CureIt!也被病毒进程关闭了~再次运行 DrWeb CureIt!, 扫描了一会又被关闭了……
还是先清空IE临时缓存,系统临时文件夹,重启电脑罢……
先尝试进入安全模式,结果蓝屏出错,还是以一般模式启动。
金山毒霸监控中心图标又在系统托盘区出现了,复制/粘贴也恢复正常了~
再次运行 DrWeb CureIt! 扫描,又扫出一些……没等扫描完成,上班时间就到了~
后来朋友通过QQ说DrWeb CureIt! 扫描/修复出了2000多个……
让网友用IceSword检查 log 中的红色显示的文件,有则强制删除,然后用:sfc /scannow 命令检修系统文件……
