smthvirus - 2006-5-6 15:27:00
npf.sys真是用途广泛。
今天无意中浏览c:\windows\system32,按时间排列,发现隐藏文件msitinit.dll
中招了。
赶紧打开HIJACKTHIS,发现LOADHW.EXE启动项,HIJACKTHIS进程管理器中可见msitinit.dll插入许多非系统进程中。
用KILLBOX删除之,重新启动后系统提示找不到loadhw.exe
注册表搜索却没有结果,定有其他玄机。
检查EXE/DLL/TXT关联,检查各盘是否有自动播放,SRENG报告,都没有中毒迹象。
看来要ICESWORD出马了,选中内核模块,用菜单功能生成LOG,与以前做的LOG做比较,发现npf.sys,立刻删除之,并清除注册表中有关root、 enum等键,启动后症状不再。
© 2000 - 2025 Rising Corp. Ltd.