该病毒隐藏的技巧非常高明!
一:
使用微软的自带的svchost.exe启动病毒,让你误认为这是微软的服务。
二:
为了防止你在搜索引擎上搜索到该病毒相关信息,病毒将保存目录名、病毒文件名、服务名统统都用4位随机字母命名。
病毒在我机器上的信息:
ServiceName : egik
DisplayName : Windows egik RunThem
ImagePath : %SystemRoot%\System32\svchost.exe -k netsvcs
Type : 0x00000110 (272)
egik\Parameters\ServiceDll : C:\Progra~1\zbdf\jlnp.dll
在这里,服务名是egik,目录名是zbdf,病毒文件名是jlnp。在躲避搜索引擎上下足了功夫。
清除办法:(适应XP以上操作系统)
在命令行下输入:
sc stop [病毒服务名]
sc delete [病毒服务名]
例如我机器上的病毒名是egik(显示名是 Windows egik RunThem)则执行:
sc stop egik
sc delete egik
然后,结束进程TIMPlateform.exe,再去删除病毒目录(例如:C:\Program Files\zbdf)
Windows 2000下没有sc服务管理工具,可以通过一台XP或2003远程进行操作。或者本机如下操作:
1:服务中停止“Windows egik RunThem”
2:注册表中删除:HKLM\System\CurrentControlSet\Serverces\egik
3:结束进程TIMPlateform.exe
4:删掉目录 C:\Program Files\zbdf(如果第一步失败,则需要重启电脑后再进行删除操作)
