| 引用: |
【极品衰哥的贴子】哪位高手知道 sysmon32.exe 是什么驱动的啊?
我杀毒的时候说我这个文件被感染.我就给删除了.现在系统每次启动都提示我找不到该文件.谁能告我一下.谢谢~!
........................... |
Trojan.Rootkit.h的手工查杀(木马进程名为sysmon32.exe):
——————————————————
1、病毒感染系统(XPSP2)的基本情况:
(1)在%system%下创建两个病毒文件sysmon32.exe和msderictx.sys。
(2)在注册表HKLM\SYSTEM\COMTROLSET001\下添加注册表项msderictx。
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\下添加"Shell"="Explorer.exe sysmon32.exe"
(3)插入进程(此病毒感染后用户运行的进程)。这点因每个被感染系统的具体情况而异。我观察到的被插入的进程有TPF2005的Tralogan.exe、UmxTray、;此外还有:HyaperSanp和wuauclt。
2、清除:
(1)运行IceSword(一个免费工具,网上可以找到)。在IceSword的“设置”中勾选“禁止进/线程创建”、“禁止协件功能”。
(2)结束病毒进程sysmon32.exe以及那些被病毒插入的进程(IceSwod的“监视进程创建”中显示为红色)。
(3)删除%system%下的病毒文件sysmon32.exe和msderictx.sys。
(4)删除注册表HKLM\SYSTEM\COMTROLSET001\下的注册表项msderictx。
删除注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\下的"Shell"="Explorer.exe sysmon32.exe"