关于system.2dt,NewInfo.rxk等的查杀(清除)

　　一，问题提出：电脑软硬件应用网电脑门诊栏目NO.2281提问：

Newinfo木马
软件类别:后台自动下载其他恶意程序强制安装,无法彻底删除
出品公司:未知
文件路径:C:\PROGRA~1\COMMON~1/MSINFO\SYSTEM.2DT

　　二，病毒分析(以下表格中分析情况由冰冷铁窗博客，孤单每一天原创):

病毒大小：21,929 字节

病毒种类：键盘记录木马

加壳方式：UPX 0.89.6 - 1.02 / 1.05 - 1.24 ＋修改程序入口点

编写语言：Borland Delphi 6.0 - 7.0

指纹效验：

SHA-160        : C64507BB60497774670B6A2B1BD02A106EEE3067
MD5            : 8F8EA016A7D0D2FE3EF1BB338DA8D087
RIPEMD-160     : FB8B9BDAEB64A869521A47AC0DC478B8E313DEC5
CRC-32         : 14E94F72

测试平台：win2000PROSP4+VM

病毒行为：

病毒system.bat运行后在%Program Files%\Common Files\Microsoft Shared\MSInfo\目录下生成NewInfo.bak、NewInfo.rxk、system.2dt三个文件，经测试system.2dt为system.bat的副本文件，NewInfo.bak为NewInfo.rxk的备份文件（ＰＳ：现在的病毒可是花样百出，ｂａｋ都想到了），将NewInfo.rxk作为线程注入到explorer.exe进程中，修改注册表达到自启动目的。

注册表修改：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{A6011F8F-A7F8-49AA-9ADA-49127D43138F}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.rxk>

　　三，病毒查杀(在孤单每一天原文基础上进行补充和修改)：

　　找到病毒释放的路径(如该网友的病毒路径：C:\PROGRA~1\COMMON~1/MSINFO\SYSTEM.2DT
)，删除以下文件：NewInfo.bak、system.2dt，使用SysCheck2(下载地址：down.45it.com)对进程管理中的explorer.exe进程下面的模块NewInfo.rxk进行强制删除(操作方法：右击－选择卸载模块并删除文件选项)，当文件删除后会发现该模块还会驻留内存即ｅｘｐｌｏｒｅｒ仍然在调用，不理会（到硬盘中删除system.2dt文件，如找不到可以使用系统自带的搜索），直接到病毒目录下查看，如果文件已经被删除，就可以清理注册表(开始菜单－运行－regedit.exe－找到“孤单每一天”分析的结果中注册表修改的项目，删除该项即可)，最后使用360安全卫士进行系统清理，进行以上操作后重启电脑－－杀毒完毕。