【求助】关于g0ld病毒
我在卡卡社区搜索相关帖子没有搜到,但是在网上却有。都没给出很好的解决办法。就是在桌面上产生了个g0ld似乎是dos运行程序的图标,因为我发现了以后马上在任务管理器里结束了g0ld.com的进程,然后在桌面和windows的prefetch目录下的g0ld删了,现在也没有发现有什么异常,但网上都说这病毒杀不干净,请问这是怎么回事
下面是网上给出的办法:关于g0ld.com
据说是来自某网站的木马。拿到样本,看了一下。
其MD5值为33119870f5b8c7f823c8f6362555c756
瑞星18.41.22不报毒。升级到18.41.30——仍不报。
(一)感染系统后的表现:
g0ld.com运行后,在C:\Program Files\Common Files\Microsoft Shared\MSInfo目录下释放InfoMz.IME。
InfoMz.IME注入explorer.exe进程。
g0ld.com添加的注册表项:
1、在HKEY_CLASSES_ROOT\CLSID\分支添加:{F084FD46-EB63-4CC0-B814-99C16EE76BD1}
在HKEY_CLASSES_ROOT\CLSID\{F084FD46-EB63-4CC0-B814-99C16EE76BD1}\
添加:InProcServer32
InProcServer32的默认值为:@="C:\\Program Files\\Common Files\\Microsoft Shared\\MSINFO\\InfoMz.Ime"
"ThreadingModel"="Apartment"
2、在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks分支添加:
"{F084FD46-EB63-4CC0-B814-99C16EE76BD1}"=""
(二)查杀流程:
1、打开IceSword,找到进程explorer.exe,右击explorer.exe,点击“模块信息”,强制卸除插入explorer.exe进程的nfoMz.IME。
2、删除C:\Program Files\Common Files\Microsoft Shared\MSInfo\InfoMz.IME。
3、清理注册表:
打开注册表编辑器。
展开:HKEY_CLASSES_ROOT\CLSID\
删除:{F084FD46-EB63-4CC0-B814-99C16EE76BD1}
展开:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
删除:"{F084FD46-EB63-4CC0-B814-99C16EE76BD1}"=""
但是,我在注册表里找不到相关的东西。
从第一步到最后一步没有一个我可以找到
