今天,又有MM要我远程下她电脑,远程后发现这个似乎也是IEFO劫持类的病毒,禁止使用任何带杀毒字样的文件运行,那位MM找朋友在安全模式下装了NOD,成功安装了,原来是卡巴,树大招风啊,没接招就被病毒架空了,DLL全部被注销了...
在安全模式杀了两个病毒,正常模式可以在显示所有文件的前提下,发现一个注册表文件,名字是AUTORUN,右键编辑,里面内容为空,一个可执行文件xywrebh.exe,发现一个AUTORUN文件夹,打开可以看到还有个带数字的AUTORUN文件夹,还发现几个脚本程序,以及名字均为AUTORUN的TXT文件,由于主病毒程序已经被NOD杀死,AUTORUN文件里面的内容也已经全部为空,遂动手删除每个盘下生成的那几个文件,另在C:\Program Files\Common Files\Microsoft Shared\文件夹里发现一个MSOCache(隐藏文件)文件,属性看后发现创建日期为1980年....汗...
知道那是病毒文件,决定删除,发现文件正在调用,无法删除.....
AUTORUN文件夹删除提示,系统找不到AUTORUN文件夹....明明就是在那...
用冰刃强制删除,没一会就莫名重新启动了.........
想用注册表导出HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options看看键值,却发现运行被重定向了--开始--运行,就弹出了个IE,里面是征途网站,由于是远程,没能确认那网站是否带病毒....
只能用冰刃删除了那HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options这个键值,由于那MM是校园网,特别卡,就处理到那步
请教猫叔,如何把那重定向弄掉啊?
