昨天开机就发现卡巴主动防御警报,一大堆东西 :wddpri.dll myfpri.dll dhdpri.dll winsys64.sys mssql.dll,都不是道是什么,也不知道是怎样染上的。狂点一通拒绝加载后,差点死机。
1、先用360卫士杀了一下说有IE777,杀了下,重启了几次,没能杀干净。
2、然后安全模式下请出SREng,说有一项注册表APPINIT_DLLs项不是空白,可能有病毒。显示该项为红色,目标是c:\windows\system32\wddpri.dll,我把这项改为空白,再查了下启动项、服务和驱动,把可能的病毒项给禁了。重启,仍然是说APPINIT_DLLs项不是空白,目标是c:\windows\system32\wddpri.dl。于是改成空白后重启,还是一样!
3、又重启,拿出ICESORD,弄了一会,没能发现什么不正常的东西,
4、又重启,进可连接的安全模式,运行REGEDIT,查找wddpri,然后删除,
5、又重启,再运行REGEDIT,查找wddpri,居然又查找出来了。
6、无奈又重启,进安全模式(第四步进的是可连接的安全模式),运行REGEDIT,查找wddpri,然后删除,
7、又重启,再运行REGEDIT,查找wddpri,居然又查找出来了。
8、无奈又重启,进命令行安全模式,结束EXPLORER进程再运行CMD,妄想手工删除,失败!运行REGEDIT,查找wddpri,然后删除,
9、又重启,再运行REGEDIT,查找wddpri,居然又查找出来了。
10、无奈又重启,这次都不知进什么模式了。
11、算了,还是安全模式。运行REGEDIT,查找wddpri,然后删除,立即刷新,居然这个wddpri立即重现!
12、最后决定用KILLBOX强删,结果删掉。
13、重启,运行REGEDIT,查找wddpri,然后删除,
14、又重启,再运行REGEDIT,查找wddpri,这次没有了。
15、现在用360查,还能查出有IE777,不过已经没目标文件了。
后记:现在还没明白:
1、它是怎样启动时加载的。明显的地方是在APPINIT_DLLs里。
2、怎么实现在APPINIT_DLLs项目的内容被改或被删?为什么我每次删它都能立即恢复?
[ 本帖最后由 huangshaoshan 于 2007-8-28 15:09 编辑 ] |