扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:zdnet安全频道 来源:论坛整理 2008年6月23日
关键字: fOxkb.sys
一台机器,总是开机进程中包含iexplorer.exe,自动下载rav00a?.exe dllhost32.exe mh???.dll等木马。
经使用SRENG,发现有
c:\windows\system\smss.exe
c:\windows\system\hook.dll
c:\windows\system32\drivers\fOxkb.sys或c:\windows\system\fOxkb.sys
c:\windows\services.exe(记事本图标)
各分区下的autorun.inf /pagefiles.pif
以及rav00a?.exe有关的木马文件(可用360SAFE全部发现)
清除:
使用ICESWORD结束有关的EXE文件对应进程;SRENG删除有关的注册表启动项和驱动启动项,ICESWORD删除各分区根文件夹下的autorun.inf+pagefiles.pif,用360SAFE协助进行木马查杀。但反复重启还是有smss.exe\services.exe病毒文件,并且出现IEXPLORER.EXE进程下载rav00a?等木马文件。
于是打开ICESWORD的重启并监视功能,终于发现还有两个病毒进程及有关文件
c:\program files\common files\system\msovert.exe(隐藏)
c:\program files\common files\system\msov.exe
c:\program files\common files\system\temp?.exe(若干)
使用ICESWORD删除这三个文件,重启后问题消失。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
京公网安备 11010802021500号