总结如下:
1、特征:病毒创建如下启动项目 注册表 [ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run] <Internet><c:\windows\system32\internet.exe /scan> [N/A] <relpop><c:\windows\system32\relpop.exe>[N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] <{9A0CFC58-5A6F-41ba-9FFE-4320F4F621BA}><C:\WINDOWS\system32\Cnscheck001.dll> [N/A] <{9A0CFC58-5A6F-41ba-9FFE-4320F4F62FB1}><C:\WINDOWS\system32\Cnscheck100.dll> [N/A]
另外发现internet.exe与CNScheck***.dll 是互相守护的。
清除方法:
1、进入安全模式 重启计算机 按F8选择进入....
2、打开工具SRENG,按 ctrl+alt+del 打开任务管理器,结束进程 Explorer.exe
3、用SRENG清除如上的注册表启动项。如正常模式下操作,需要用到 killbox 以上工具可以在这里下载 >>SREng下载链接 (文件名:>> SREng【teyqiu】.com << 点这里下载) >>Killbox 下载链接 >> http://www.newsmth.net/bbscon.php?bid=78&id=227853&ftype=11
3、重启后即可。
|