下午在%System%/windows/system32目录下发现4个未知的可执行文件:winform,msccrt,cmdbcs,mppds,于是从进程中杀死它们并直接删除可执行文件。但是重起以后发现这4个文件又存在了,并要求修改注册表实现开机运行,说明这几个文件只是某个病毒母体运行后产生的子体。
第一步采用瑞星最新版本杀毒,瑞星发现系统中%System%/windows/system32/driver/oxizn.sys文件感染了rootkit.agent.pg病毒,经过杀毒后提示重起后将清除病毒,于是重起,但是病毒依然存在。而试图直接删除oxizn.sys文件则根本不可能。
于是进行第二步:到安全模式下杀毒,瑞星仍然提示重起后清除。同样不起任何作用。
于是只好查看注册表,在安全模式下运行regedit,查找到好几个关于oxizn的项,由于是系统驱动,所以无法直接对注册表中进行修改。只是删除了几个无关痛痒的注册表项。
重新回到系统内部,从网上下载了SREng,运行该软件,并在其“启动项”--》“服务”--》“驱动程序”中找到OXIZN项,关闭之(实在没办法而为之,请慎重。)另外只好等有启动盘的时候再到DOS下彻底杀除该病毒了。
总结:现在很多,木马,插件都是基于驱动来编写的oxizn.sys就是驱动文件,所以很多时候即便是在安全模式下它还是启动着的,在完全不了解该病毒的情况下,一般清除起来比较困难,那么病毒驱动文件就会被清楚,如果不能的话,启动到DOS模式下,删除该文件.
4181
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
