症状是任务管理器里有logon_1.exe或者rundl132.exe。简单分析后,发现所有的exe几乎都被感染,每个目录下有个_desktop.ini文件用于记录日期。explorer.exe进程中有dll.dll动态库。c:/windows/system32/drivers目录下有svchost.exe在开机时运行。
杀毒比较简单:
1.断了网线
2.安全模式启动
3.删除c:/windows/logon_1.exe,c:/windows/rundl132.exe,c:/windows/dll.dll
4.删除c:/windows/system32/drivers/svchost.exe
5.删除注册表中HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon项的Userinit字键中的c:/windows/system32/drivers/svchost.exe
6.删除注册表中HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Windows项的load子键中 的c:/windows/system32/drivers/svchost.exe
7.得写个程序还原被感染的exe文件。具体做法就是把exe文件前面的病毒体去掉,长度忘了,就是logon_1.exe的大小,大概是0x84xA字节,反正看到后面接着就是'MZ'就对了。