今天给一个朋友查看电脑,突然发现kernel32.sys这个启动项,觉得可疑,居然还删不掉,于是搜索了下,把相关的资料整理如下:

 

    

1. 症状

  (1) 如果系统中安装有WinRAR(一种很好的压缩解压工具,很多电脑上有安转),在任务管理器中会出现一个以SYSTEM方式运行的rar.exe,偶尔占用CPU达到100%. 经过确认,rar.exe本身是WinRar附带的一个命令行工具,并不是病毒,只是被病毒利用了而已。
  (2) 无法显示隐藏的系统文件:在文件夹选项中将“显示受保护的操作系统文件”前面的勾去掉后,再次打开文件夹选项,发现刚才的操作无用。
  (3) 感染U盘,在U盘下创建如下文件(设U盘的盘符为U:):
   U:\autorun.inf
   U:\RECYCLER\RECYCLER\desktop.ini
   U:\RECYCLER\RECYCLER\autorun.exe
  注意,以上文件的属性均为系统、隐藏,在感染了该病毒的机器上是没有办法通过资源管理器看见的

         (4) 该病毒会在系统中创建如下文件:
   c:\windows\system32\kernel32.sys
   c:\windows\system32\mfc48.dll
   c:\windows\java\classes\java.dll
   %temp%\dfssetup.tmp,其中%temp%为当前用户的临时文件夹,例如C:\Documents and Settings\User\Local Settings\Temp
  (5) 该病毒还会修改注册表:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"UncheckedValue"=dword:00000001
将其值修改为dword:00000000
  修改该值实现在资源管理器中无法显示“隐藏的系统文件”的功能。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
将其值修改为kernel32.sys
  修改该值实现自动加载kernel32.sys的功能。注意,该加载项在msconfig中是看不见的!

 

 

2 .   清除办法:

 

清除方案1:
MS-DOS引导,删除 系统盘:\系统目录\system32\mfc48.dll,系统盘:\系统目录\system32\kernel32.sys,系统盘:\系统目录\java\java.dll,重启。
将HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls键值清空。

清除方案2:
用IceSword逐一卸掉各个进程中的上述模块(先把无关进程结束以减轻工作量,不要使用强制卸除)
然后删除对应文件。如果删不掉就用强制删除。重启。
将HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls键值清空。

SSM暴力杀灭法(未经多次试验):
在SSM的规则中将svchost.exe的规则删掉。
将HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls键值清空
这时SSM提示svchost.exe要修改注册表,永久拒绝。
保存所有未完成的工作,按下机箱上的Reset键重启。
删除kernel32.sys,java.dll,mfc48.dll
删除svchost.exe的规则。

 

另附个专杀工具,见附件