哼哼,病毒,敢跟我斗!!!
HKEY_LOCAL_MACHINE\SYSTEM\Controlset001\Services
HKEY_LOCAL_MACHINE\SYSTEM\Controlset002\Services
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
下找到以病毒文件名命名的项并删除(这是删除病毒文件的注册项)
今天又发现Adware.NewWeb病毒,按上次“删除Adware.NewWeb(http://blog.sina.com.cn/u/4baba09b010006z8)病毒”进行删除而无法清除,我在C:\WINDOWS\system32 下找到病毒文件(4e7fntos.dll)删除它后又自动生成此文件。一直不住地检查注册表(HKLM\SYSTEM\CurrentControlSet\Services\)下自己这个驱动的值,如果删除马上又会生成。
看来它的驱动保护做的还是不错的,难以杀掉的原因是对文件以及进程都做了保护。我用了一个autoruns揪出流氓软件的驱动保护,我们今天就来实战一下。运行autoruns之后,在它的“Options(选项)”菜单中有两项“Verifiy Code Signatures(验证代码签名)“Hide Signed Microsoft Entries(隐藏已签名的微软项)“,把这两项都选中了。扫描之后,我们只看驱动(driver)这一项:可以看出C:\WINNT\SYSTEM32\DRIVER\ATMSIG.SYS、C:\WINNT\SYSTEM32\4e7fntos.dll都没有经过微软的数字签名,所以肯定是假的。(因为是随机生成的文件名,所以你那里找出来的,可能跟我的不一样)。
我记下ATMSIG.SYS和\4e7fntos.dll,用了一个unlocker的软件进行解锁。然后就可以把病毒文件删除了。然后在运行里输入REGEDIT打开注册表编辑器,删除下列项:
HKEY_CLASSES_ROOT\CLSID\{841B2B65-118D-4FF2-AD63-4CFF44B8B 68F}
HKEY_CLASSES_ROOT\CLSID\{da187a27-ceb3-4e7f-ae2b-1b294ae19f4f}
HKEY_CLASSES_ROOT\CLSID\{DFCB34B6-902D-426E-AE2B-1B294AE19F4F}
HKEY_CLASSES_ROOT\TypeLib\{FD5EC997-35AB-49B6-A504-D0879643845F}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{DFCB34B6-902D-426E-AE2B-1B294AE19F4F}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks\{DFCB34B6-902D-426E-AE2B-1B294AE19F4F}
并分别在:
HKEY_LOCAL_MACHINE\SYSTEM\Controlset001\Services
HKEY_LOCAL_MACHINE\SYSTEM\Controlset002\Services
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
下找到以病毒文件名命名atmsig的项并删除。
AutoRuns官方下载
http://download.sysinternals.com/Files/Autoruns.zip