nx88vk.dll
绑定了一个网站,会修改ie首页为:http://www.3929.cn/?tn=102722
1.直接修改ie首页设置,退出再进入设置页面,发现又被动态修改了
2.用nod32,dr.web,360扫描,处理无果,做了个分析报告
3.发现exploer.exe被绑定,多出一个nx88vk.dll
4.用Wsyscheck删除之,发现无法删除
5.进入安全模式使用wsyscheck仍旧无法删除;使用unlocker,靠,发现它还绑定了system进程!
6.使用光盘进入PE系统,手动删除
7.进入系统,有弹出提示:找不到nx88vk.dll,扫描注册表,清除runonce里相关内容,但是发现ie首页依旧被绑定
8.运行冰刃,查看到explorer又被绑定一个l3codea.com,不知道是啥,删除之,再清理注册表
9.重启系统,OK
10.提交这个nx88vk.dll给nod32,一天后可以查出来了,呵呵(不知道是不是我的功劳,目前dr.web仍旧无法扫描出)
同时,还清理了
ujbhs - ujbhs - C:/WINDOWS/system32/drivers/ujbhs.sys - (running)