1、删除病毒的加载项。
2、确认系统程序mmc.exe已经被病毒替换!
3、尝试用IceSword结束病毒进程mmc.exe。进程无法结束。先结束c:\windows\svchost.exe后,mmc.exe进程才能结束
4、用IceSword禁止进程创建,再结束病毒进程。
5、一一删除病毒文件(我的本本只有C、D两个分区)。
6.删完病毒文件后,mmc.exe自动复原了。感觉很爽!!
7、鉴于有人反应:这个mmc.exe感染wuauclt.exe,我删完病毒文件后重启系统,连接网络,运行了一下windows update。汗!!那个病毒文件mmc.exe又回来了。
8、再用autoruns看看启动项:病毒程序mmc.exe的服务项也回来了!!
9、在WINDOWS的“安全中心”里关闭windows自动更新,重启系统,再看看进程列表:wuauclt.exe进程还在!!
10、看来问题确实严重。看看刚才运行过的应用程序吧。IceSword——被感染了。Tiny的监控——被感染了。 verclsid.exe——被感染了。rundll32.exe——被感染了。
检查了一下ghost.exe的MD5,也变了!
至此,我觉得瑞星将此毒报为蠕虫是有道理的。
接下来,我找了一个干净的ghost.exe,在DOS下替换掉被感染的ghost.exe。然后,运行GHOST,用先前做的C盘备份恢复系统,完事。
恢复完系统,重启后,又用卡巴斯基扫了一下D盘,查出GhostExp.exe也此毒被感染。但卡巴斯基可以清除,GhostExp.exe依然可用。
因此,建议已经中招的朋友,不要指望通过手工将此毒杀净。
还是用杀软吧。卡巴斯基这样的杀软可以清除这个病毒,清除病后,被感染的.exe文件仍然可用。
当然,如果你也有系统的GHOST备份,用GHOST备份恢复系统更省事、省时。但要注意:运行GHOST.EXE前,务必用干净的GHOST.EXE替换掉被病毒感染的GHOST.EXE。否则,你就白忙活了!!
