【求助】灰鸽子病毒在注册表启动加载项中如何准确定位啊?!
O23 - NT 服务: yrrrrrr (yyrrrrr) - Unknown owner - C:\WINDOWS\G_Server.exe (file missing) 这是我的扫描日志.关于清除该病毒在注册表的加载项,现在有2个不同的说法,我不知道该听谁的.
1,说定位HKEY_LOCAL_MACHINE\ SYSTEM \ CURRENTCONTROLSET \ SERVICES分支,删除左栏中的病毒服务名.可我在yyrrrrr下又发现2个分支Enum 和 Security,是不是不管这些一并删除yyrrrrr??(我的系统还原已经关闭)
2,说定位HKEY_LOCAL_MACHINE\ SYSTEM \ CURRENTCONTROLSET \ SERVICES分支,然后点“编辑”--“查找”--在“查找目标”输入灰鸽子名,比如G_Sever.exe.可用这个方法找到的病毒名称根本就不在这个定位里,而是在KEY-USERS\S-1-5-21-725345543-1275210071-839522115-500\Software\Microsoft\Search Assistant\ACMru\5603 里面.分别是"名称:000,001 类型:REG_SZ,REG_SZ 数据:_hook.dll,g_sever.exe"(我不会贴图T_T)
偶狂晕啊!!
各位老大指点迷津啊!!!
