|
刚才访问网页时卡巴提示有病毒,路径是C:\WINDOWS\system32\drivers\usbme.sys的这个文件,我没删它想看看有啥效果,貌似病毒建立了进程IEXPLORER.EXE ,用户名为SYSTEM,之后陆续建立了几个为IEXPLORER.EXE 的进程,且CPU占有率达99%,害我差点死机,之后我结束了该进程查杀刚才的目录,没找到病毒源文件,我怀疑病毒仍然存在,因为IEXPLORER.EXE 进程结束之后依然能再出来,之后我用了procexp找了该进程硬盘位置,提示C:\Program Files\Internet Explorer\IEXPLORE,应该是微软的IE,运行之后没发现问题,之后又陆续结束了几次IEXPLORER.EXE 用户名为SYSTEM的进程,直到其不再出现.无病毒反映.但是在打开QQ(别的程序没试)时显示病毒C:\WINDOWS\system32\drivers\usbme.sys,且每次删完下次依然存在,此病毒进程不在开机运行里,个人认为产生IEXPLORER.EXE 进程及其他作用只是其发作的效果,病毒源文件仍未找到,估计杀毒软件应该可以清除,我想问问各位学长的看法以及病毒原理,我有说错的地方希望给予指点,还有个想问的是系统文件里是不是有个后缀为_hook.dll的文件啊,我查的时候找到一个8K的,要么是灰鸽子?不太了解啊~~感谢大家给予指点. 经过我2个小时的奋战(有点夸张的说),终于解决了问题,具体删除我是在安全模式下进行的,此病毒分为4部分,1是在注册表里HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run下的"9"="%System%\vpcrm.exe"开机运行键,删了,2是%system%\Drivers\usbme.sys这个文件,只能在DOS或安全模式下进行删除.3为QQ安装目录下的TIMPlatfrom.exe文件(上面我也提到病毒是将正常的QQ文件TIMPlatform.exe复制为TIMPlatfrom.exe,并将自身复制为正常的QQ文件)我首先修改了TIMPlatfrom.exe文件名,可惜和该目录下的文件名重复,但是我打开隐藏文件也没能看到那个病毒的文件,我只能先把被病毒修改后的原QQ文件复制到了别的地方,改名,然后再复制回来,这时我看到了可以覆盖病毒的那个25K左右的文件,覆盖后运行QQ,出现正常的TIMPlatform.exe进程.4为vpcrm.exe文件,网上都说有这个文件的,我没找到,后来卡巴杀毒时找到了. 感染: 木马程序 Trojan-PSW.Win32.Lmir.bej c:\windows\system32\vpcrm.exe 24.6 KB
|