22595.com/vip.htm病毒样本及查杀方法
浏览器加载项:(删除)
[Flash 9]
{492B8F66-B8CF-4F7A-B0EE-B7383B92F5BA} <C:\WINDOWS\system\IceHBO.dll, N/A>
注意此文件在system目录下,不是在32目录下.170 KB (174,650 字节)
驱动程序:(删除)
[qrkbxrvl / qrkbxrvl]
<\SystemRoot\System32\DRIVERS\qrkbxrvl.sys><N/A>
随机名字,文件大小:8.50 KB (8,704 字节),没有防护,可以直接改名字.
已测试,改名此两个文件后,关闭网页时已不再弹出22595和26515。在此之前还删除过一个伪dhcp服务,但对此无效。
清除方法:请大家测试:
用sreng-点系统修复-点浏览器加载:删除以下项:
[Flash 9]
{492B8F66-B8CF-4F7A-B0EE-B7383B92F5BA} <C:\WINDOWS\system\IceHBO.dll, N/A>
然后删除后面调用的文件:C:\WINDOWS\system\IceHBO.dll
注意此文件在system目录下,不是在system32目录下.此文件大小170 KB (174,650 字节),右键点文件-属性,可以查看。
打开sreng-点启动项目-点服务-点驱动程序:找到以下类似的项:(点隐藏已认证的微软项目,会好找到一些。)将以下项的启动类型改为disabled.
[qrkbxrvl / qrkbxrvl]
<\SystemRoot\System32\DRIVERS\qrkbxrvl.sys><N/A>
此文件随机名字,名字是8位随机生成的字符,没有任何含义,此文件大小:8.50 KB (8,704 字节),右键点文件-属性,可以查看。此文件没有防护,可以直接改名字.根据文件名字和文件大小特征,大概就可以锁定目标。
注:改名字和删除文件的效果一样,为了防止误删后恢复麻烦,所以建议改名比较妥当,就改为12345678.sys好了,随你便。
实在找不到病毒文件的,可以用sreng扫描一个报告上来,开新贴求助。不要在此贴后面跟帖子贴报告(讨论可以)。大家都跟着贴报告就乱套了。
538