史萊姆也有人中過喔...有文章!!!
這幾天一直被這個病毒折磨,NAV可以發現該病毒,但不能去除,也不能隔離。被感染的是名為: c:\windows\system32\sysmodule32.dll 該檔案刪不掉,在DOS下刪掉後還會再「長」出來。
經多次試驗,發現在「Windows工作管理器」下有兩個名為「EXPLORER.EXE」的工作,其中較小的一個(約3、4M)與該病毒有關,結束該工作後前述被感染的文件就可以被暫時刪除。但不久還會再「長」出來。
顯然,需要找到這個工作的可執行文件並刪除之。找遍C碟,只找到正宗的「Windows檔案總管」的可執行文件explorer.exe,這可不能刪除。與病毒關聯的工作的可執行文件一直未見蹤影。
一個偶然的機會,才發現奧秘,不得不佩服病毒作者的巧思。病毒關聯的工作的名字並不是EXPLORER.EXE,而是EXPL0RER.EXE,作者巧妙地利用了在「Windows工作管理器」的字體裡字母O與數字0的顯示是一樣的問題,來隱藏病毒工作,其真正的可執行檔案名為expl0rer.exe。實在是高
找到問題所在,解決就容易了: 1. 關閉系統還原; 2. 結束名為EXPL0RER.EXE的工作(中間的字串是數字0該工作只有3、4M,不要動EXPLORER.EXE工作,該工作較大,>10M); 3. 在c:\windows\system32\路徑下刪除以下三個文件: sysmodule32.dll、expl0rer.exe、sysmodule64.dll 注意後兩個文件是隱藏和只讀內容,正常狀態下並不顯示出來。 文:cl13
轉自史萊姆論壇!! |