最近在浏览一个网页时感觉速度有点慢,IE有一段时间的停滞
一开始并没在意
但当我打开一个新的IE时,发现首页被改为了:http://kzxf.com,于是轻车熟路,找来兔子、360卫士等工具,一通绞杀,果然发现几个恶意软件,清除、重启
启动音响过,卡巴斯基竟然报告有木马和广告软件
再查,又是N个流氓软件
如此这般的反复,问题依旧
IE的首页始终是http://kzxf.com,从注册表中删除此键值,竟然一刷新又出来
重启进安全模式,发现这流氓仍然活着….
这下我可是黔驴技穷了…
面对可怜的电脑无技可施
几天后,去360卫士论坛发现了一个相关的帖子,才知道这是一个驱动级的病毒,它将自己伪装成驱动,并注入到system内核(当然安全模式下也可以加载了),但没有病毒的特征,所以杀毒软件对他不敏感,但它可以下载某些木马或者流氓软件,现将结论总结如下:
1、该流氓软件文件名为随机,但system32/drivers下为两个sys文件,以两位数字结尾,版本号同为:5.00.2195.5438,同为9KB。
2、system32文件夹下存在一个与以上sys其中一个同名的dll文件,44KB
3、找到这三个文件之后,记下文件名及路径,重启进DOS或其他系统,删除
4、重启后提示xxxx.dll找不到,不用理会,在注册表和系统文件夹中搜索所有包含有这个dll文件名的键值或文件,删除相应信息,重启即可
