因为此类木马采用注入系统进程的方式,一旦感染,普通杀毒很难处理干净,且病毒加载方式较为隐蔽。所以总结一些方法与大家分享。
根据用户反映现在主要集中两种情况:
1、 瑞星只能部分发现并杀掉病毒,但杀完后再杀,或每次重启后监控又会报病毒,(有时候也会出现杀毒失败情况,多是DLL文件),这种情况主要是由于查杀掉的并不是病毒母体文件,母体不断释放病毒体造成。如出现这种情况,可能根据用户情况让其下载听诊器诊断提取,如用户对电脑操作较熟练或很着急处理,可带其根据附件1中的说明,找到启动时加载了的病毒母体文件名,手工删除(删除方法见后)。
2、 瑞星能发现全部病毒体,有的可能清除,有的删除失败,删除失败的多是注入系统进程(如explorer.exe,winlogon.exe)的DLL动态链接库文件,可以在结束相应进程后,进行杀毒或手工删除文件解决。
手工删除方法:
建议先进入安全模式,对2000/XP系统,可以在任务管理器里结束explorer.exe 进程,从“文件”-“新建任务”启动瑞星主程序杀毒,然后重启explorer.exe进程,找到病毒文件删除。
对注入其他系统进程如winlogon.exe,或有些情况下(多发生在9X系统下)结束explorer.exe发生死机或重启,建议还是在DOS下或控制台模式(控制台安装使用请见附件2)下进行手工删除文件。
DOS下命令:
cd c:\windows\system32
attrib -r-s-h msapi.exe
attrib -r-s-h msapi.dll
del msapi.exe
del msapi.dll
把其中删除文件名换成相应病毒文件名即可。
删除完文件最好再删除一下注册表中相应的启动项,检查注册表中键值做一下修复,包括一些文件关联如.exe和.txt及IE默认设置。
