接着开始清理病毒的启动项。从 pe_xscan 的 log可以看到病毒使用了映像劫持技术(O26项),不过没有劫持瑞星卡卡安全助手,所以我们可以正常启动瑞星卡卡安全助手。
瑞星卡卡安全助手启动后自动扫描,发现3个流氓软件,清除。
然后选[高级功能]->[插件管理及卸载],把 O24 项卸载掉
在[高级功能]—>[系统启用项管理]里,在左边点击[登录项],在右边找到 O4 项对应的项目,右击,从弹出的菜单里选择删除。
在[高级功能]—>[系统启用项管理]里,在左边点击[应用程序初始化动态连接库],在右边找到 O20 项对应的项目,右击,从弹出的菜单里选择删除。
在[高级功能]—>[系统启用项管理]里,在左边点击[驱动],在右边找到 O23 项对应的项目,右击,从弹出的菜单里选择删除。
在[高级功能]—>[系统启用项管理]里,在左边点击[应用程序劫持项],在右边找到 O26 项对应的项目,右击,从弹出的菜单里选择删除。
用WinRAR 删除Windows临时文件夹,IE临时文件夹,d:/windows/prefetch 中可以删除的文件。
部分病毒文件信息:
文件说明符 : C:/Documents and Settings/All Users/「开始」菜单/程序/启动/AtiSrv.exe 属性 : A--- 获取文件版本信息大小失败! 创建时间 : 2008-3-4 16:31:48 修改时间 : 2008-3-4 16:31:48 访问时间 : 2008-3-5 0:0:0 大小 : 24576 字节 24.0 KB MD5 : 8eca4f3a62acb2273416bc9729adb543 SHA1: C2B94AD5C384872FF6712CAAB6DF3E3BBCFB89A2 CRC32: 740d4190
Hello, AtiSrv.exe_ No malicious code was found in this file. Please quote all when answering. -- Best regards, Mikhail Bulgakov Virus analyst, Kaspersky Lab.
文件说明符 : c:/windows/system32/cuhad.dll 属性 : -SH- 获取文件版本信息大小失败! 创建时间 : 2008-3-4 16:33:12 修改时间 : 2008-3-4 16:33:14 访问时间 : 2008-3-5 0:0:0 大小 : 14849 字节 14.513 KB MD5 : 944075f880ef7eae52d2304b113cad82 SHA1: E5DAD1C4DD4F85942436DFFF645EC543F21BEB83 CRC32: c46451e7
已检测到: 木马程序 Trojan-PSW.Win32.Lmir.brg 文件: D:/test/cuhad.dll.rar/cuhad.dll/UPack
文件说明符 : C:/Program Files/Internet Explorer/PLUGINS/SysWin7s.Jmp 属性 : A--- 获取文件版本信息大小失败! 创建时间 : 2008-3-4 16:33:17 修改时间 : 2008-3-4 16:33:20 访问时间 : 2008-3-5 0:0:0 大小 : 33934 字节 33.142 KB MD5 : 9b2c2cff7132770f45e45b6871abd1e7 SHA1: 2BCD0F7A3DD37C3181D07E59FDBF3953450F48A4 CRC32: 14ceab9e
文件说明符 : C:/WINDOWS/system32/9.exe 属性 : A--- 获取文件版本信息大小失败! 创建时间 : 2008-3-4 16:33:16 修改时间 : 2008-3-4 16:33:18 访问时间 : 2008-3-5 0:0:0 大小 : 33934 字节 33.142 KB MD5 : 1e1ccd68f5c4db532a1bc4fc19780e29 SHA1: C3A42213CC9B639BCDA9F03616455562C95067A9 CRC32: b01f376f
已检测到: 木马程序 Trojan-PSW.Win32.OnLineGames.sns 文件: D:/test/9.exe.rar/9.exe/UPX
文件说明符 : C:/WINDOWS/system32/bgovintwm.dll 属性 : A--- 语言 : 中文(中国) 文件版本 : 5.1.2600.3099 说明 : Windows XP MSPLAY API DLL 版权 : (C) Microsoft Corporation. All rights resad. 备注 : 产品版本 : 5.1.2600.3099 (xpsp_sp2_gdr.070308-0222) 产品名称 : Microsoft(R) Windows(R) Operating System 公司名称 : Microsoft Corporation 合法商标 : Microsoft 内部名称 : msplay32 源文件名 : msplay32 创建时间 : 2008-3-4 16:33:43 修改时间 : 2008-3-4 16:33:44 访问时间 : 2008-3-5 0:0:0 大小 : 19774 字节 19.318 KB MD5 : 889fdde57f96aa53980506efb63fe9af SHA1: 8C68443E3063990A8E7BBEBA992998C02CDB3322 CRC32: d19699b3
文件说明符 : C:/WINDOWS/system32/mswmkkk32.dll 属性 : A--- 获取文件版本信息大小失败! 创建时间 : 2008-3-4 16:33:42 修改时间 : 2008-3-4 16:33:44 访问时间 : 2008-3-5 0:0:0 大小 : 32256 字节 31.512 KB MD5 : 07557352b909a391630156eec528180c SHA1: 1867C0B9C5F9235F86FE38341C0AE1718A2A3FE5 CRC32: 62ca52be
已检测到: 木马程序 Trojan-PSW.Win32.OnLineGames.rkf
