修复工具:
1、System Repair Engineer(SREng)的扫描报告;
2、unlocker (下载地址:[url]http://www.cisko.cn/Soft/ShowSoft.asp?SoftID=37[/url])用于删除病毒文件。
在 System Repair Engineer(SREng)的扫描报告中查找病毒文件的办法:
在“正在运行的进程”下面查找注入到进程的dll文件:以嘎嘎的报告为例(比较典型)
[PID: 532][C:\WINDOWS\system32\k6s.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\drivers\nmprt.sys] [N/A, N/A]
[C:\WINDOWS\system32\rdzl7.dll] [N/A, N/A]
这个进程和附带的两个文件就是病毒。一般nmprt.sys是昨天发现的共有名称,但今天的报告中发现了随机名字的sys文件。但这3个病毒文件的存放路径是固定的。
exe文件的名字和位数不固定,特征是包含数字。
dll文件是5位包含数字的随机名字。
这个exe进程下可能还寄生其他的dll文件,最典型的就是cnnic的dll文件。本文不讨论cnnic.
dll文件的特征是同时注入到其他进程下,几乎每个进程都有他们的踪迹:比如C:\WINDOWS\Explorer.EXE进程、rundll32.exe、ctfmon.exe下肯定有。
快速判定以上病毒文件的办法是用百度搜索一下文件名字,一般不会有搜索结果的定是病毒无疑。
删除病毒文件不用到安全模式(也进不去),用unlocker即可删除。一次删除不了请重新安装unlocker或重起,多试几次就删掉了。
删除病毒文件后的后遗症是不能进安全模式,原因是病毒文件吧关键的安全模式需要加载的注册表项删除了,请下载以下文件解压后双击,导入注册表即可。
本文转自starger51CTO博客,原文链接:http://blog.51cto.com/starger/18519 ,如需转载请自行联系原作者
