前文“recycle.exe”、“ .exe”、“ .exe”、“ .exe”病毒中病毒文件使用文件夹图标来诱使文件双击运行,今天又在同事的电脑上看到一例,与前文类似,也是在system32下生成4个文件夹(隐藏属性),文件夹名称是5位字母或数字组合,当然与前文不一样,但其中一个中也是装着病毒释放的E语言库文件(另一个装E语言库文件的地方上临时文件夹temp中的E_N4文件夹),另一个则装着放到启动项中的文件(注册表与开始程序菜单的启动文件夹),用于防止删除病毒后还能在下次启动后再次生成(确实如此,该机上的杀毒软件也删除隔离了几个病毒文件,但病毒仍然存在,这对于杀毒不彻底的杀毒软件来说,将是一个反复的过程。当然与前文也有不同,首先并没有recycle.exe与那几个带空格的exe文件,而且在生成的文件夹中出现了其它的可执行文件,一个exe,一个dll,它们有自己的图标,而不是文件夹样子的,看来这次没有杀毒软件能预先阻止它们的出现了。同样我没有找到autorun.inf,可能是杀毒软件对它已经看得很紧了。
清除文件比较简单,从任务管理器中终止两三个随机数字字母的进程,然后那4个文件夹就可以直接删除了,同时清理临时文件夹并删除注册表启动项与启动文件夹。而最后我用windows清理助手扫描时,又发现两个可疑的对象C:\WINNT\FONTS\AVWGHIN.DLL和C:\WINNT\FONTS\AVZXOIN.DLL,不过我竟然在字体文件夹中没有发现(也许需要用第三方工具打开才能找到,毕竟它们不是字体,可能不会被识别)。下面是一些病毒文件(因为是2000的系统,所以windows文件夹是WINNT,同时需要清理的病毒文件不限于以下这些):
c:\documents and settings\administrator\「开始」菜单\程序\启动\def68d.lnk(即c:\winnt\system32\4e39c3\def68d.exe)
c:\winnt\system32\4e39c3\def68d.exe
c:\winnt\system32\681558\an6153b.exe
c:\winnt\system32\681558\dp1.fne
c:\winnt\system32\681558\eapi.fne
c:\winnt\system32\681558\krnln.fnr
c:\docume~1\admini~1\locals~1\temp\e_n4\dp1.fne
c:\docume~1\admini~1\locals~1\temp\e_n4\eapi.fne
c:\docume~1\admini~1\locals~1\temp\e_n4\htmlview.fne
c:\docume~1\admini~1\locals~1\temp\e_n4\internet.fne
c:\docume~1\admini~1\locals~1\temp\e_n4\krnln.fnr
c:\docume~1\admini~1\locals~1\temp\e_n4\shell.fne
c:\docume~1\admini~1\locals~1\temp\e_n4\spec.fne(c:\docume~1\admini~1\locals~1\temp\即c:\documents and settings\administrator\local settings\temp)
注册表中启动项:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<DEF68D><C:\WINNT\system32\4E39C3\DEF68D.EXE>
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/283.html
