问题:总是发现一个感染win32.hack.ginwui 的病毒,但怎么杀都杀不掉,安全模式下试过也不行。
分析:在研发的样本库里查到该病毒是个难缠的黑客程序,病毒在windows\system32目录下生成两个DLL文件,病毒会劫持AppInit_Dlls注册键。
从微软知识库中查询的结果是:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows,该值中指定所有 DLL 文件由指定的程序加载。而感染这个病毒后,AppInit_Dlls的值会被修改为c:\windows\system32\zsyhide.dll。这样的话,即使重启时,进安全模式,病毒也会自动运行。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows,该值中指定所有 DLL 文件由指定的程序加载。而感染这个病毒后,AppInit_Dlls的值会被修改为c:\windows\system32\zsyhide.dll。这样的话,即使重启时,进安全模式,病毒也会自动运行。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows下AppInit_Dlls的缺省值为空。
感染该病毒后,使用autoruns可以检查到以下修改。
解决办法:
在安全模式下,启动金山毒霸反间谍,运行文件粉碎器,把windows\system32目录下的zsyhide.dll和zsydll.dll两个文件添加到粉碎列表中,然后将这两个病毒文件彻底删除。千万别把整个windows\system32目录都放进去哦,不然重装就是唯一选择了。再重启一次电脑,你会发现问题已经解决了。
