病毒在局域网内传染,中毒电脑接入网络就导致整个局域网无法访问路由器,从而无法上网,怀疑是ARP欺骗型的病毒。具体检查SREng扫描的日志,发现该病毒利用映像劫持阻止大量的杀毒软件、安全工具运行,被劫持的软件有:
360rpt.EXE 360safe.EXE 360safebox.EXE 360tray.EXE ANTIARP.EXE ArSwp.EXE Ast.EXE AutoRun.EXE AutoRunKiller.EXE AvMonitor.EXE AVP.COM AVP.EXE Frameworkservice.EXE GFUpd.EXE GuardField.EXE HijackThis.EXE IceSword.EXE Iparmor.EXE KASARP.EXE KAVPFW.EXE kavstart.EXE kmailmon.EXE KRegEx.EXE KVMonxp.KXP KVSrvXP.EXE KVWSC.EXE kwatch.EXE Mmsk.EXE msconfig.EXE Navapsvc.EXE nod32krn.EXE Nod32kui.EXE PFW.EXE QQDoctor.EXE rfwProxy.EXE rfwstub.EXE RSTray.EXE safeboxTray.EXE SREngLdr.EXE TrojanDetector.EXE Trojanwall.EXE TrojDie.KXP VPC32.EXE VPTRAY.EXE WOPTILITIES.EXE
劫持以上程序到C:\WINDOWS\system32\dllcache\wuauclt.exe,C:\WINDOWS\system32\dllcache\是系统文件的备份文件夹,正常情况下wuauclt.exe是系统文件,用于windows更新升级,因此即使被用于劫持程序,也要检查确认是否被病毒替换,如果没有被替换,就不必删除。
除上面的映像劫持项要从注册表中删除(可以在SREng-启动项目-注册表中直接删除列出的IFEO项,即使SREng也被劫持,可以通过改变程序名称令其运行),另外要删除的病毒文件有:
c:\WINDOWS\system32\davclnst.dll
c:\documents and settings\all users\「开始」菜单\程序\启动\3.pif
c:\windows\system32\obj2.sys
c:\windows\temp\~46.tmp
c:\windows\temp\~09.tmp
c:\documents and settings\6.pif
c:\windows\system32\waclt.exe
c:\documents and settings\user\桌面\t.pif
c:\documents and settings\user\桌面\0.exe
c:\calc.pif
c:\autorun.inf
SREng-启动项目-启动文件夹之如下项删除:
[3] <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\3.pif>
SREng-启动项目-服务-驱动程序之如下项禁用:
[dog0725 / dog0725] <\??\C:\WINDOWS\system32\obj2.sys>
[sys_hkt / sys_hkt] <\??\C:\WINDOWS\TEMP\~46.tmp>(有时是c:\windows\temp\~09.tmp)
清理时注意同时清空c:\windows\temp\及c:\documents and settings\各用户名文件夹\local settings\temp\,病毒文件可能藏身其中,且名称不确定(可能不同于上面列出的文件名),上述的.pif文件同样文件名可能会有不同,也应根据位置一起清理。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/271.html
