|
|
<BR><DIV class=tpc_content>一、分析<BR>1.查看进程,多出三个可疑internet.exe,SOUNDMAN.EXE,conime.EXE<BR>2.在C:\WINDOWS里面有alcrmv.exe和alcupd.exe,SOUNDMAN.EXE这些程序<BR>3.在目录"C:\WINDOWS\system"下:<BR>IceHBO.dll<BR>jwm.exe<BR>wo2.exe<BR>ztt.exe<BR>conime.EXE (注:正常的conime.exe是输入法编辑器,在c:\windows\system32下面,大小为27,648 字节)<BR>SYSTEM32.vxd<BR>internet.exe<BR><BR>如果npf.sys、windhcp.ocx没有删除,仅删除后上述文件,有可能在目录"C:\WINDOWS\system"下再次生成<BR>conime.exe<BR>ienet.exe<BR>jwm.exe<BR>mir.exe<BR>SYYTEM32.tmp<BR>ztt.exe<BR>等病毒文件。<BR>4.察看explorer.exe加载的模块,可疑的为:<BR>C:\WINDOWS\system32\windhcp.ocx<BR><BR>5. 察看服务管理,可疑的有:<BR>"C:\WINDOWS\system32\Drivers\”下的<BR>npf.sys<BR>snapman.sys<BR>wzpsazsn.sys<BR><BR>二、处理手段及步骤:<BR>1.中止三个可疑的进程internet.exe,SOUNDMAN.EXE,conime.EXE<BR>2.删除上述提到的文件<BR>C:\WINDOWS下的:SOUNDMAN.EXE,alcrmv.exe和alcupd.exe<BR>C:\WINDOWS\system下的:internet.exe、jwm.exe、wo2.exe、ztt.exe、conime.EXE、SYSTEM32.vxd、internet.exe<BR>但是IceHBO.dll无法直接删除、可用IceSword1.2 删除<BR>3."C:\WINDOWS\system32\Drivers\”下的可疑文件也用IceSword1.2删除<BR>npf.sys<BR>snapman.sys<BR>wzpsazsn.sys<BR>4.用syscheck 卸载IE加载的可疑的模块windhcp.ocx,步骤为:<BR>syscheck->进程管理->选中explorer.exe(还是iexplorer.exe?有点忘记了!!)-><BR>在模块信息栏中选中windhcp.ocx->点击右键在弹出菜单中选择“卸载并删除模块”<BR>或:<BR>开始菜单—>运行—>services.msc,里面有个Windows DHCP Services,如在运行,则停止之,设为“已禁用”。C:\windows\system32\Drivers下,找到xpdhcp.dll/windhcp.ocx,删除之。<BR>5.搜索注册表,删除含有internet.exe,conime.EXE内容的条目<BR><BR>ok!<BR><BR>===============备注=================<BR>1.Internet.EXE--网络神偷<BR>网络神偷会在注册表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]下建立键值“internet”,其值为internet.exe /s,将键值删除; <BR>删除其自启动程序C:\Windows\SYSTEM\Internet.EXE。 神偷完蛋了!<BR>2.conime.exe-【伪装成输入法】以开机自运行<BR>在C:\WINDOWS\system下伴随conime.exe出现的常有SYSTEM32.tmp、jwm.exe等文件<BR>3.soundman.exe启动项,可能是声卡服务程序,声卡优化用的,删除了也不要紧的。<BR>4.npf.sys--注册为一个服务程序,且在“控制面板->管理工具->服务”中看不到,要在注册表中才能看到: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Npf<BR>可能与ARP木马有关:<BR>点开始里的搜索查找Loadhw.exe,Msitinit.dll,Npf.sys文件,找到了就删除。 <BR>运行regedit,查找注册表的loadhw.exe,Msitinit.dll,Npf.sys找到了就删除。OK了! <BR><BR></DIV>
<DIV class=tpc_content>Internet.exe病毒专杀工具下载地址:<BR><A href="http://www.hotbus.cn/it/200706/2031.html">/it/200706/2031.html</A></DIV> <BR>
|
|
IP卡
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡