[注意]描述为N/A不等于该文件没有可疑哦,最好下一个最新的SrEng重新生成一个报告
这里看报告确实看不出异常 你是否省略了一些关键点呢?比如文件关联/Winsock API/系统配置文件内容等等,请确认。 但我建议你最好弄多个syscheck或者icesword看下有没被hook的进程 再不行把超级巡警弄下来杀
顺带提醒下 IE的加载项也是比较容易藏污纳垢的地方,请认真检查
下面引用刚搜到的解决方案:
----------------------------------
teYqiu天下无毒原创文章,转载请标明。http://hibaiducom/teyqiu
反病毒知识专家崔衍渠 授权。 『转载请保留此申明!』
----------------------------------
本文的眼:Trojan-DownloaderWin32Agentbbb ,另外又见CNNIC的8随机小写字母的垃圾驱动一大堆,自作孽不可活。
一、问题的提出:
我电脑上杀软是卡巴斯基,总是提示查到Trojan-DownloaderWin32Agentbbb的病毒,然后叫重启后删除,但是重启后没有作用,依然会弹出来,总是叫重启,我非常苦恼,希望你能帮帮我,万分感谢,扫描出的日志我贴在我的百度空间,希望尽快解决,TKS!!
百度空间裏日志的地址:http://hibaiducom/rb0316/blog/item/c8ef5689354fe6b30f244425html
二、分析
1 杀毒前关闭系统还原(Win2000系统可以忽略):右键 我的电脑 ,属性,系统还原,在所有驱动器上关闭系统还原 打勾即可。
清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点“删除文件”按钮 ,将 删除所有脱机内容 打勾,点确定删除。
关闭QQ等应用程序。进行如下操作前,请不要进行任何双击打开磁盘的操作。所有下载的工具都直接放桌面上。
2用强制删除工具 PowerRMV 下载地址: http://postbaiducom/fkz=158203765
分别填入下面的文件(包括完整的路径) ,勾选“抑止杀灭对象再次生成”,点杀灭 有找不到提示的请忽略错误继续
C:\WINDOWS\system32\aowgodll
C:\WINDOWS\SYSTEM32\WBEM\KGFERDLL
重启计算机 然后再进入安全模式执行如下的操作
--------------------------------------------------------------
以下的操作都要求安全模式下进行。
[安全模式?重启电脑时按住F8 选择进入安全模式]
--------------------------------------------------------------
3 用工具 SREng 删除如下各项
下载及其使用方法看下面的链接有图解,看懂再下手操作!
http://hibaiducom/teyqiu/blog/item/f706213fc52346ec54e72351html
如下操作有风险,必须看懂上面的方法再操作。
打开SREng后提醒“函数的内容与预期值不符他们可能被一些恶意的软件所修改”的错误请忽略,装杀软后的正常修改。
启动项目 -->服务-->Win32服务应用程序 的如下项删除
[Event Service / AtWork][Stopped/Auto Start]
<C:\WINDOWS\System32\svchostexe -k netsvcs-->C:\WINDOWS\system32\aowgodll><N/A>
[Network IPSEC Connections / SoSCAR][Stopped/Auto Start]
<C:\WINDOWS\SYSTEM32\RUNDLLFROMWIN2000EXE C:\WINDOWS\SYSTEM32\WBEM\KGFERDLL,Export 1087><N/A>
启动项目 -->服务-->驱动程序的如下项删除(如果删不掉,就设置类型为disabled!)
[adgjaefh / adgjaefh][Stopped/Boot Start]
<\SystemRoot\system32\drivers\adgjaefhsys><N/A>
[afjeidid / afjeidid][Stopped/Boot Start]
<\SystemRoot\system32\drivers\afjeididsys><N/A>
[ahcfdcfb / ahcfdcfb][Stopped/Boot Start]
<\SystemRoot\system32\drivers\ahcfdcfbsys><N/A>
[bbcgfghb / bbcgfghb][Stopped/Boot Start]
<\SystemRoot\system32\drivers\bbcgfghbsys><N/A>
[bdfdbhgd / bdfdbhgd][Stopped/Boot Start]
<\SystemRoot\system32\drivers\bdfdbhgdsys><N/A>
[befidjca / befidjca][Stopped/Boot Start]
<\SystemRoot\system32\drivers\befidjcasys><N/A>
[bfjaejad / bfjaejad][Stopped/Boot Start]
<\SystemRoot\system32\drivers\bfjaejadsys><N/A>
[cdchicaf / cdchicaf][Stopped/Boot Start]
<\SystemRoot\system32\drivers\cdchicafsys><N/A>
[cgcebbic / cgcebbic][Stopped/Boot Start]
<\SystemRoot\system32\drivers\cgcebbicsys><N/A>
[dhcidjfa / dhcidjfa][Stopped/Boot Start]
<\SystemRoot\system32\drivers\dhcidjfasys><N/A>
[difahjig / difahjig][Stopped/Boot Start]
<\SystemRoot\system32\drivers\difahjigsys><N/A>
[eadbaefj / eadbaefj][Stopped/Boot Start]
<\SystemRoot\system32\drivers\eadbaefjsys><N/A>
[eedjaffa / eedjaffa][Stopped/Boot Start]
<\SystemRoot\system32\drivers\eedjaffasys><N/A>
[fbabbgjd / fbabbgjd][Stopped/Boot Start]
<\SystemRoot\system32\drivers\fbabbgjdsys><N/A>
[ffbebgfb / ffbebgfb][Stopped/Boot Start]
<\SystemRoot\system32\drivers\ffbebgfbsys><N/A>
[fghfafjc / fghfafjc][Stopped/Boot Start]
<\SystemRoot\system32\drivers\fghfafjcsys><N/A>
[gacdbacd / gacdbacd][Stopped/Boot Start]
<\SystemRoot\system32\drivers\gacdbacdsys><N/A>
[gbiacfii / gbiacfii][Stopped/Boot Start]
<\SystemRoot\system32\drivers\gbiacfiisys><N/A>
[gfegjbed / gfegjbed][Stopped/Boot Start]
<\SystemRoot\system32\drivers\gfegjbedsys><N/A>
[gfgahcbe / gfgahcbe][Stopped/Boot Start]
<\SystemRoot\system32\drivers\gfgahcbesys><N/A>
[gihajjbh / gihajjbh][Stopped/Boot Start]
<\SystemRoot\system32\drivers\gihajjbhsys><N/A>
[hajfdeih / hajfdeih][Stopped/Boot Start]
<\SystemRoot\system32\drivers\hajfdeihsys><N/A>
[hbfigdib / hbfigdib][Stopped/Boot Start]
<\SystemRoot\system32\drivers\hbfigdibsys><N/A>
[hcddddie / hcddddie][Stopped/Boot Start]
<\SystemRoot\system32\drivers\hcddddiesys><N/A>
[hfeefcdh / hfeefcdh][Stopped/Boot Start]
<\SystemRoot\system32\drivers\hfeefcdhsys><N/A>
[ieiceeee / ieiceeee][Stopped/Boot Start]
<\SystemRoot\system32\drivers\ieiceeeesys><N/A>
[ijadeced / ijadeced][Stopped/Boot Start]
<\SystemRoot\system32\drivers\ijadecedsys><N/A>
[jbicfebe / jbicfebe][Stopped/Boot Start]
<\SystemRoot\system32\drivers\jbicfebesys><N/A>
[jejgfach / jejgfach][Stopped/Boot Start]
<\SystemRoot\system32\drivers\jejgfachsys><N/A>
[jfgagajb / jfgagajb][Stopped/Boot Start]
<\SystemRoot\system32\drivers\jfgagajbsys><N/A>
[lcaf / lcafd][Running/Boot Start]
<\SystemRoot\System32\DRIVERS\lcafdsys><N/A>
[rynfvki / rynfvki][Stopped/Boot Start]
<\SystemRoot\system32\drivers\rynfvkisys><N/A>
最后用 下文推荐的工具清理(第四个 WINDOWS清理助手) 把能检测到的全选后点清理(删除)参考
http://postbaiducom/fkz=149133630
[注]你的日志中还有如下可疑文件,也一并干掉:
\SystemRoot\System32\drivers\129453sys
\SystemRoot\System32\DRIVERS\vxrhvsys
C:\WINDOWS\system32\trpgsdll
[提示]请下一个超级巡警,修复所有API HOOK
希望我的回答对你有所帮助~~~
Colgan Air Flight 3407是根据与大陆航空公司的代码共享协定,作为Continental Connection销售的,是从新泽西州纽瓦克到纽约布法罗的定期客机航班,于2009年2月12日坠毁。这架飞机是庞巴迪Dash-8 Q400,进入一个空气动力学失速,它没有恢复,撞向一个房子在纽约州克拉伦斯中心,美国东部时间下午10:17(03:17 UTC),49名乘客和机组人员遇难,以及一个在房子里人也因此遇难。
这起事故引发了对美国区域航空公司运营的一轮询问。这是自Comair 5191号航班于2006年8月崩溃以来的第一次致命航空公司事故,造成49人死亡。
国家运输安全委员会进行了事故调查,并于2010年2月2日发布了最终报告,发现可能的原因是飞行员对失速警告的不适当反应。
事故受害者家属游说美国国会对区域航空公司颁布更严格的法规,并改进对安全操作程式和飞行员工作条件的审查。 2010年的“航空公司安全和联邦航空管理扩展法案”要求对这些法规进行一些修改。
基本介绍 中文名 :美国大陆连线3407号班机空难 外文名 :Colgan Air Flight 3407 日期 :2009年2月12日 摘要 :在着陆进场期间停止,坠入房子 乘客 :45 船员 :4 死亡 :50人 伤害 :(非致命)4(在地面上) 机型 :庞巴迪 DHC8-402 Q400 操作员 :科尔根航空 注册 :N200WQ 起点 :纽瓦克自由国际机场 目的地 :水牛城尼亚加拉国际机场 飞机及机组人员,事故简介,调查,受难者,各方反应,影响, 飞机及机组人员 Colgan Air Flight 3407(9L / CJC 3407)作为Continental Connection Flight 3407进行销售。延误了两个小时,从东部标准时间(EST; 02:18 UTC)下午9:18开始,在从Newark Liberty国际机场到布法罗尼亚加拉国际机场。 双发动机涡轮螺旋桨飞机庞巴迪Dash 8 Q400,FAA注册表N200WQ,于2008年为Colgan制造。[5] 这是科尔根航空客运航班自1991年成立以来的第一起致命事故。以前的一次渡轮(没有乘客)在2003年8月在麻萨诸塞州的海上坠毁,导致船上的船员死亡。事故发生在LaGuardia机场,当时另一架飞机与Colgan飞机相撞,同时滑行,导致乘务员受轻伤。[6] 船长Marvin Renslow,47,Lutz,佛罗里达州,是指挥官,Rebea Lynne肖,24,在华盛顿州Maple谷担任副驾驶。[7] [8] [9]有两个乘务员:Matilda Quintero和Donna Prisco。 船长Renslow于2005年9月受雇,累计飞行3379小时,在Q400上为111小时。 2008年1月,Shaw先生被雇用了2244小时,其中774人在涡轮飞机包括Q400。[10] 有2名加拿大人,1名中国人和1名以色列乘客。其余46人,包括机组人员,都是美国人。[11] 事故简介 FAA ILS / LOC进近板在跑道23在布法罗尼亚加拉国际机场(KBUF)。该航班在距离Rwy 23号航站点约五海里的定位器外标记(LOM)(标识符:“KLUMP”)附近坠毁(标记为红色)。 在飞行结束后,为了跑道23仪器着陆系统方法到布法罗尼亚加拉国际机场,它从雷达消失了。天气包括轻雪,雾和15节的风的寒冷混合。除冰系统在起飞后11分钟开启。在飞机坠毁前不久,飞行员讨论了飞机机翼和挡风玻璃上的大量积冰。[12] [13] [14]另外两架飞机报告结冰情况大约时间的坠毁。 飞行的最后一次无线电传输发生在副驾驶承认改变到塔频率的例行指令时。这架飞机在无线电信标KLUMP东北方向30英里(48公里)处(见图)。崩溃发生在最后一次传输后41秒。由于ATC进近控制无法从飞行获得任何进一步的回响,请求达美航空公司航班1998年和美国航空公司1452航班的援助。也没有能够发现失踪的飞机。[15] [16] [17] [18] [19] 在最后进近后,起落架和襟翼(5度)延伸。飞行数据记录仪(FDR)表明空速已衰减至145节(269公里/小时)。[2]船长然后要求襟翼增加到15度。空速继续减慢到135节(250公里/小时)。六秒钟后,飞机的摇杆被激活,警告即将失速,速度继续减慢到131节(243公里/小时)。机长通过突然拉回控制柱,随后将推力增加到75%功率,而不是降低鼻子和套用全功率,这是适当的失速恢复技术。这种不当的动作使得鼻子进一步向上,从而增加了g负荷和失速速度。推杆被激活(“在空气动力失速之后,Q400推杆施加飞机下降控制列输入以减小机翼迎角[AOA]),但是机长超过了推杆和继续拉回控制柱。副驾驶在没有咨询船长的情况下缩回襟翼,使得恢复更困难。[20] 在最后的时刻,飞机俯仰31度,然后俯仰25度,然后左转46度,向右回到105度。乘员经历的力量估计接近重力的两倍。机组没有作出紧急声明,因为他们迅速失去高度,撞向距离跑道末端大约5英里(80公里)的长街6038号的一个私人住宅,机头指向远处。随着燃料箱在冲击时破裂,飞机爆炸成火焰,毁坏了道格拉斯和凯伦维林斯基的房子,以及大部分飞机。道格拉斯被杀了;他的妻子卡伦和他们的女儿吉尔设法逃脱与轻伤。周围的家庭很少受到损坏,即使该地区的地段只有60英尺(183米)宽。[22]该家靠近克拉伦斯中心消防公司,所以应急人员能够迅速作出反应。两名消防队员受伤。 12个附近的房子被疏散。[13] [19] [23] [24] [25] [26] [27] 调查 档案:NTSB Colgan Air Flight 3407 Crash Animationogv 这个3D动画重建显示2009年2月12日的事故的最后2分钟,涉及由Colgan Air公司经营的庞巴迪DHC-8-400,N200WQ,该公司坠毁在水牛城 - 尼亚加拉国际机场东北5海里机场,水牛城,纽约,而在仪表着陆系统方法到跑道23。 美国国家运输安全委员会(NTSB)于2月13日开始调查,由14名调查员组成。[16] [17] [44]在华盛顿特区[19] [45]回收和分析飞行数据记录器(FDR)和驾驶舱话音记录器(CVR) 从FDR提取的数据显示飞机在襟翼和起落架延伸后不久经历严重的俯仰和摇摆振荡,随后激活“摇杆”失速系统。飞机跌落800英尺(240米),然后坠毁在东北航向,对面朝向机场的进场。 [13] [19] [26] [46] [47] [19] 冷冻温度使得难以接近碰撞碎片。携带型加热器被用来融化在消防努力之后留下的冰。仔细地移除人类残留物,然后在数周的时间内最终鉴定。驾驶舱承受了最大的冲击力,而主舱主要被随后的火球毁坏。后部的乘客仍然坐在他们的座位上。[26] [46] [48] 自动驾驶仪处于控制状态,直到失速警告摇杆激活时自动断开。 NTSB发现没有严重结冰条件的证据,这将需要飞行员手动飞行。[49] Colgan建议飞行员在结冰条件下手动飞行,并要求飞行员在严酷的结冰条件下飞行。 2008年12月,NTSB发布了一份关于在结冰条件下保持自动驾驶仪的危险的安全公告。手动飞行飞机对于确保飞行员能够检测到飞机操纵特性的变化是必不可少的,这是冰堆积的警告信号。[50] [51] [52] 在队长不适当地反应到摇杆失速警告之后,推杆被激活。按照设计,当它感觉到一个失速即将来临时,它将鼻子向下推,但是机长再次反应不当,并且通过再次拉回控制柱,使得额外的安全装置过载,导致飞机失速和坠毁。[53]飞行安全基金会总裁比尔·沃斯(Bill Voss)告诉“今日美国”,它听起来就像飞机处于“一个很糟糕的情况”。[54] 2009年5月11日,公布了关于Renslow队长培训记录的信息。他失败了三次“检查乘坐”[55],包括一些在湾流国际公司的付费飞行计画,[需要引证],并建议他可能没有得到充分的训练,以应对紧急情况导致飞机的致命下降。[55]调查员检查了可能的船员疲劳。机长似乎在纽瓦克机场过夜,在事故飞行的下午9:18之前的一天。副驾驶从西雅图到纽瓦克乘飞机过夜。[2] [56]调查期间的这些调查结果使得美国联邦航空局发布了“行动呼吁”,以改进区域航空公司的做法。[57] 为回应NTSB的询问,Colgan Air官员承认,两名飞行员显然没有密切关注飞机的仪表,并没有正确地遵循航空公司处理即将到来的失速的程式。 “我相信Capt。Renslow的确有意在水牛城安全着陆,以及第一官员Shaw,但显然在最后几分钟飞行仪表没有被监测,这是一个缺乏态势感知的指示,“Colgan飞行标准总监John Barrett说。[58] 从CVR获得的船员通信的正式成绩单以及使用来自FDR的数据构建的对碰撞的动画描述在2009年5月12日向公众提供。一些船员的通信违反联邦规则禁止非必要会话。[59]从5月12日至14日,NTSB访问了飞行的20名证人。[60] 2009年6月3日,“纽约时报”发表了一篇文章[61],详细说明了一名FAA检查员在2008年1月观察试飞的Colgan行动的投诉。正如FAA以前的FAA事件处理其他检查员的投诉,[61]检查员的投诉被推迟,检查员被降级。该事件正在由负责美国 联邦举报人投诉的机构特别顾问办公室调查。 受难者 共有50人死亡,包括飞机摧毁时船上的49名乘客和船员,以及被击中的房子的一名居民。 在地面上有四个伤,包括在崩溃时在家里的另外两个人。 死者中有: 人权调查员和卢安达种族灭绝专家Alison Des Forges。[11] [28] 贝弗利·埃克特,谁成为9/11家庭指导委员会的共同主席和9月11日的声音的领导者,她的丈夫肖恩·鲁尼在9月11日的攻击中丧生。 她去布法罗去庆祝她丈夫的58岁生日,并在Canisius高中纪念奖学金[11] [29] [30] Gerry Niewood和Coleman Mellett,爵士音乐家,他们在去Chuck Mangione和布法罗爱乐乐团的音乐会。[11] 苏珊·威勒,第一个美国女性犹太人复兴州。[31] 各方反应 Colgan Air为2月13日受影响的家庭和朋友设定了一个电话号码,并在纽约Cheektowaga镇Cheektowaga CDP的Cheektowaga高级中心开设了一个家庭援助中心。[32] [33] [ 34]美国红十字会还在水牛城和纽瓦克开设了接待中心,家庭成员可以得到精神卫生和精神保健工作者的支持。[35] 美国总统欧巴马六天前与Beverly Eckert 握手 下午,美国众议院为受害者及其家属保持沉默。[36] 水牛的专业冰球队,布法罗骑兵队,在第二天晚上对圣荷西鲨鱼的比赛之前,保持沉默。[37] 水牛城大学(UB)失去了11名乘客,他们是前雇员,教师或校友,还有12名是教师,员工,学生或校友的家庭成员,他们在2009年2月17日举行了纪念仪式。 [38] [39]在篮球季节的剩余时间,有UB球员制服的带有航班号的带。 布法罗州立学院第11任总统穆里尔·霍华德发表了关于在3407飞行失去的六个校友的声明。贝弗利·埃克特是1975年毕业于布法罗州[40] 2009年3月4日,纽约州州长帕特森(David Paterson)提议成立一个奖学金基金,帮助50名罹难者的儿童和经济受抚养人。 3407纪念奖学金将支付纽约州纽约州立大学或纽约州立大学或私立学院或大学4年的本科学习费用。[41] 这次事故是区域航空公司的PBS Frontline插曲的基础。在这一集中讨论的问题涉及区域航空公司的监管,培训要求,安全和工作条件。[42]还讨论了区域航空公司的运营原则以及区域航空公司与主要航空公司之间的协定。[43] 影响 FAA已经提出或实施了3407飞行事故造成的若干规则变更,范围从飞行员疲劳到航空公司运输飞行员证书(ATP)资格,在雇佣之前最多有1500小时的飞行经验。其中一个最重要的变化已经生效,改变了审查员在摊位期间对飞行模拟器进行等级检查的方式。[62] 调查人员还审查了ATP认证的实践测试标准(PTS),允许在模拟摊位中高度损失不超过100英尺(30米)。 NTSB认为,由于在测试的模拟环境中的这种低公差,飞行员可能已经害怕失速中的高度损失,并且因此主要聚焦于防止这样的损失,甚至损害从失速本身恢复。随后由FAA发布的新标准消除了任何具体的高度损失规定,呼吁改为“最小的海拔损失”。一位审查员告诉一本航空杂志,只要飞行员能够恢复原来的高度,他不允许失败任何申请人失去模拟失速的高度。[62]
vmdetdhcexe,xxxz23ini等木马病毒清除解决方案
病毒名称: TrojanWin32Delfgfw
病毒类型: 木马
文件 MD5: 9C9AD87459DFF7DD3617AB82F2D71930
公开范围: 完全公开
危害等级: 4
文件长度: 145,408 字节
感染系统: Windows98以上版本
加壳类型: UPX 0896 - 102 / 105 - 124 -> Markus & Laszlo
开发工具: Borland Delphi 60 - 70
病毒描述
该病毒为木马类病毒,病毒运行后创建副本病毒vmdetdhcexe、xxxz23ini到%System32%目录下,并将文件属性设置为隐藏、修改%system32%\drivers目录下的Beep服务,创建一个beepsys文件到该目录下覆盖系统的beepsys文件,释放的病毒驱动文件恢复SSDT,绕过部分杀毒软件主动防御,调用API函数启动vmdetdhcexe病毒文件,添加病毒启动项,创建~vmdetdhcexeUpdate到%temp%目录下,读取xxxz23ini文件内容获取升级地址,该文件可对病毒实时更新、该病毒运行后删除自身文件、连接网络读取列表内容、并按列表内容打开大量恶意链接地址。
行为分析-本地行为
1、文件运行后会释放以下文件
%System32%\vmdetdhcexe
%System32%\xxxz23ini
%System32%\drivers\beepsys
%System32%\xxxz23ini~
%Temp%\~vmdetdhcexeUpdate
2、删除注册表、添加注册表启动项
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_BEEP\0000\Control\ActiveService
值: 字符串: "Beep"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_BEEP\0000\Control\ActiveService
值: 字符串: "Beep"
描述:删除系统beep相关服务
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\vmdetdhcexe
值: 字符串: "C:\WINDOWS\system32\vmdetdhcexe"
描述:添加病毒开机启动项
3、释放的病毒驱动文件恢复SSDT,绕过部分杀毒软件主动防御,调用API函数启动vmdetdhcexe病毒文件创建~vmdetdhcexeUpdate到%temp%目录下,用于升级病毒文件,读取xxxz23ini文件内容获取升级地址、该文件可对病毒实时更新,该病毒运行后删除自身文件。
行为分析-网络行为
协议:TCP
端口:80
连接服务器名:http://aa9net:82/down444txt
描述:按照文件列表中更新病毒、并打开大量恶意链接地址
列表内容为:
<Config DelayTimer="180" CheckTimer="10" ExeCount="0" ResetCount="1"></Config>
<UpdateURL Ver="20081125" Sleep="3">http://601731013:8989/vmnattexe</UpdateURL>
<StartPage Lock="2" ReRun="0">http://www9234com</StartPage>
<CountURL Switch="1"></CountURL>
<File4 Run="1" Max="1" Sleep="0" NoExists="" Name="trem2008" ExeVer="4301002" Being="0" UserID="">http://601731013/kole009htm</File4>
<PopURL1 Pop="1" Show="5" Close="0" Sleep="120" Max="2">http://51mysoftcomcn/q3htm</PopURL1>
<PopURL2 Pop="1" Show="5" Close="0" Sleep="500" Max="1">http://1ads555com/q2htm</PopURL2>
<PopURL3 Pop="1" Show="5" Close="0" Sleep="300" Max="1">http://g91ivrcom/click_fullphptid=1&uid=13498&aid=1&sid=&ref=&referer=&v=&t=</PopURL3>
<PopURL4 Pop="1" Show="5" Close="0" Sleep="300" Max="1">http://51mysoftcomcn/q3htm</PopURL4>
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings
\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是%WINDOWS%\System
windowsXP中默认的安装路径是%system32%
--------------------------------------------------------------------------------
清除方案
手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)使用ATOOL管理工具,“进程管理“,束spoolsvexe进程
(2) 强行删除病毒下载的大量病毒文件
%System32%\vmdetdhcexe
%System32%\xxxz23ini
%System32%\drivers\beepsys
%System32%\xxxz23ini~
%Temp%\~vmdetdhcexeUpdate
(3)删除病毒创建的启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru
欢迎分享,转载请注明来源:品搜搜测评网
微信扫一扫
支付宝扫一扫
