现象:瑞星及其监控都不能运行(关闭瑞星的病毒还是不少的)。
检查其扫描的SREng日志,分析结论如下:
1.删除以下文件:
c:\windows\system32a2.sys(这个好久不见了,应该算是老家伙了)
c:\windows\system32\drivers\mhqjoep.sys(随机的名字)
c:\netapi00.sys(这个文件查了半天,卡饭论坛上说是磁碟机变种衍生物释放出的一个文件,并注册为服务,重置SSDT ,挂掉绝大多数杀软和部分安全软件,例如冰刃,的hook ,使得主动防御失效,但我没有在日志中找到释放它的ntfsus.exe及其它提到的文件,也没有c:\windows\system32\Com\下的LSASS.EXE、SMSS.EXE和ALG.EXE,倒是找到下面的文件netcfg.dll,也是该病毒成员之一)
C:\WINDOWS\system32\com\netcfg.dll
e:\autorun.inf(这两个是AUTO病毒,基本现在的病毒少不了autorun.inf了,下面的pagefile.pif大概是用来保护自己的)
e:\pagefile.pif
2.使用SREng删除下面各项:
启动项目 -- 服务-- 驱动程序之如下项删除:
[R2A / R2A] <\??\C:\WINDOWS\system32a2.sys>
[mhqjoep / mhqjoep] <\SystemRoot\\SystemRoot\System32\drivers\mhqjoep.sys>
[NetApi00 / NetApi00] <\??\C:\NetApi00.sys>(干掉瑞星的应该是它吧)
系统修复 -- 浏览器加载项之如下项删除
[IfObj Control] <C:\WINDOWS\system32\com\netcfg.dll>
大约如此。