两例都是杀毒软件报告virus.win32.autorun.mg,其中一个:卡巴斯基报毒,系统时间被改成2005年,隐藏文件无法正常显示,IE窗口不断弹出,机器启动变慢。
查看两例的SREng日志,有以下相似之处:
两例中都有病毒服务出现,一个是:[7380BC6D / 7380BC6D] <C:\WINDOWS\system32\BD0A5D8E.EXE -k>,另一个是[286EE121 / 286EE121] <C:\WINDOWS\system32\792405C6.EXE -k>;前者在进程中出现c:\windows\system32\ff9b3a9.dll,后者是c:\windows\system32\1707e7b.dll。都是随机的名字,我想这应该就是virus.win32.autorun.mg。
至于前一个出现不断弹出浏览器窗口的情况,根据日志检查还有其它的木马存在:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<MSDEG32><LYLoader.exe> [N/A]
<MSDWG32><LYLoadbr.exe> [N/A]
<MSDCG32 ><LYLeador.exe> [N/A]
<MSDOG32><LYLoador.exe> [N/A]
<MSDSG32><LYLoadar.exe> [N/A]
<MSDMG32><LYLoadmr.exe> []
<MSDHG32><LYLoadhr.exe> [N/A]
<MSDQG32><LYLoadqr.exe> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<WinSysW><C:\WINDOWS\608769L.exe> [N/A]
而另一例中没有以上内容。又看了几个也是virus.win32.autorun.mg的情况,里面的病毒和木马比上面出现的要多的多,注册表有、服务有、驱动和IE插件中也有,不过不要紧,有出现就一起清除,反正现在木马病毒打包赠送的情况很平常了。