防火墙提示有一个SVCHOST进程链接远程IP,根据防火墙的记录,此svchost.exe位于C:\WINDOWS\system32\oobe\2369\下,明显有问题。
开机跳出DOS窗口,关闭就跟着弹出错误对话框“16位MS-DOS子系统”:c:\windows\system32\ctfmon.exe NTVDM CPU遇到无效指令 CS:xxxx IP:xxxx OP:xx xx xx xx xx 选择关闭结束该程序。同时还有ntsd -d的错误程序提示窗出现。
1.删除如下文件:
c:\windows\system32\logondll.dll (浏览器劫持类木马)
c:\windows\system32\dllcache\mravsc32.exe (魔波病毒)
c:\windows\system32\drivers\knp60.sys
……
真正的麻烦来临了,周二下午杀毒用了近两个小时,而周三则用了近三个小时。这次病毒比较凶,安全工具不仅不能运行,而且一运行其可执行文件就被病毒删除,很可爱的是机上装的趋势杀毒软件都活得自在,人家可没闲着,查出好多的病毒,就是不能杀掉。