java kernel32.dll,关于kernel32.sys病毒的问题

今天给一个朋友查看电脑，突然发现kernel32.sys这个启动项，觉得可疑，居然还删不掉，于是搜索了下，把相关的资料整理如下：

1. 症状

(1) 如果系统中安装有WinRAR(一种很好的压缩解压工具，很多电脑上有安转)，在任务管理器中会出现一个以SYSTEM方式运行的rar.exe，偶尔占用CPU达到100%. 经过确认，rar.exe本身是WinRar附带的一个命令行工具，并不是病毒，只是被病毒利用了而已。

(2) 无法显示隐藏的系统文件：在文件夹选项中将“显示受保护的操作系统文件”前面的勾去掉后，再次打开文件夹选项，发现刚才的操作无用。

(3) 感染U盘，在U盘下创建如下文件(设U盘的盘符为U:)：

U:\autorun.inf

U:\RECYCLER\RECYCLER\desktop.ini

U:\RECYCLER\RECYCLER\autorun.exe

注意，以上文件的属性均为系统、隐藏，在感染了该病毒的机器上是没有办法通过资源管理器看见的

(4) 该病毒会在系统中创建如下文件：

c:\windows\system32\kernel32.sys

c:\windows\system32\mfc48.dll

c:\windows\java\classes\java.dll

%temp%\dfssetup.tmp，其中%temp%为当前用户的临时文件夹，例如C:\Documents and Settings\User\Local Settings\Temp

(5) 该病毒还会修改注册表：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CurrentVersion\Explorer\Advanced\Folder\SuperHidden]

"UncheckedValue"=dword:00000001

将其值修改为dword:00000000

修改该值实现在资源管理器中无法显示“隐藏的系统文件”的功能。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

将其值修改为kernel32.sys

修改该值实现自动加载kernel32.sys的功能。注意，该加载项在msconfig中是看不见的！

2 .   清除办法：

清除方案1：

MS-DOS引导，删除 系统盘:\系统目录\system32\mfc48.dll，系统盘:\系统目录\system32\kernel32.sys，系统盘:\系统目录\java\java.dll，重启。

将HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls键值清空。

清除方案2：

用IceSword逐一卸掉各个进程中的上述模块(先把无关进程结束以减轻工作量，不要使用强制卸除)

然后删除对应文件。如果删不掉就用强制删除。重启。

将HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls键值清空。

SSM暴力杀灭法(未经多次试验)：

在SSM的规则中将svchost.exe的规则删掉。

将HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls键值清空

这时SSM提示svchost.exe要修改注册表，永久拒绝。

保存所有未完成的工作，按下机箱上的Reset键重启。

删除kernel32.sys，java.dll，mfc48.dll

删除svchost.exe的规则。

另附个专杀工具，见附件