问题描述:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
+ ?? ??EXE
这个EXE每次开机都会自动加载的注册表里,而且用瑞星查看进称名称每看一次它就变一个名字,每次名字都是一个乱码文字,删除一次后自启动项目里又多一个什么WINDOW.INI的项目,再次删除以后就没了,但是下一次开机又有了,请问高手这到底是什么病毒,该如何彻底杀除了.
我想也许和这个有关Rootkit.CallGate.a,这个病毒几乎每次开机都会显示被查出来然后说重起后删除,但还是没用.
问题解答:
这个病毒是wdm.exe木马...挺烦的一个东东```瑞星提示重起后自动删除```开机后是删了ksld.sys文件``不过上网开QQ后又提示有毒..话不多说`现在开始
病毒客户端是wdm.exe`文件存在于C:\WINDOWS\system32\wdm.exe.用瑞星查这个文件是查不出毒的``
C:\WINDOWS\system32\drivers\ksld.sys这个才是有毒的文件...是wdm.exe利用拨号加载的...
首先,禁止wdm.exe、TIMPlatfrom.exe、TIMPlatform.exe加载(TIMPlatfrom.exe、TIMPlatform.exe这两个文件存在与QQ主目录下..现已被病毒覆盖)
然后,删除wdm.exe`清理注册表
注册表清理方法:开始→运行→输入Regedit
找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run删掉那个与wdm.exe有关的键值..OK了`重起...
最后,卸载QQ重新安装。
开机按F8进入安全模式。。。在那个里。。。再杀个毒。。就OK
99.9%是病毒
你杀下看
不行装个系统
.imi好像是一个可以运行后删除文件,然后自动销毁的文件
上海旅游网