【回复“wanghaizhao”的帖子】
这是BookStore.trojan
该木马一共有三个文件,分别是:
\System32\LOADHW.EXE
\System32\msitinit.dll
\System32\drivers\npf.sys
LOADHW.EXE是一个安装文件,在会把自己注册在:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
如果它被删除掉,并不影响木马的运行,只是在开机时会报该文件不存在。
msitinit.dll是常驻内存的,插入了explorer.exe进程
npf.sys注册为一个服务程序,且在“控制面板->管理工具->服务”中看不到,要在注册表中才能看到:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Npf
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTF它负责在启动时将msitinit.dll调入内存,以及一些其它操作。
===============
操作参考:
http://forum.ikaka.com/topic.asp?board=28&artid=6979213
下载后打开IceSword
在工具栏中点击--文件--设置
勾选“禁止进线程创建”
然后结束explorer.exe进程
删除msitinit.dll
进入注册表
搜索npf.sys
找到后删除其所在的系统服务文件夹
删除npf.sys
注意:上述操作可以全部由IceSword来完成!!
