1、通過瑞星查毒發現c:\windows\system32\30pzg8d.dll檔案感染Trojan.DL.Win32.Hmir.hl但是删除不了,隻好通過冰刃icesword強制删除。
3、删除後重新開機,rundll提示找不到30pzg8d.dll子產品,說明還有服務或者啟動項在調用30pzg8d.dll
4、接着在冰刃icesword的啟動組裡查找是否有rundll之類的項目,徹底排查後沒有發現異常。
5、用msconfig也沒有發現,那麼到底隐藏在什麼地方呢?
6、在冰刃icesword的核心子產品裡可以看到系統加載的服務和程式。用SREng(System Repair Engineer)的啟動項目裡查找,看到服務有兩種,一種是Win32服務應用程式,一種是驅動程式。Win32服務就是我們一般看到的系統服務,驅動程式提供的服務一般看不到,在SREng的驅動程式服務裡檢視,發現有個xy6pchlxf.sys服務有些怪異,找到這個檔案的目錄c:\windows\system32\drivers,右鍵檢視該檔案的屬性,居然沒法看,問題很可能就出現在這,接着删除xy6pchlxf.sys,删除不掉,用在冰刃icesword強制删除,然後用SREng删除xy6pchlxf.sys這個服務,重新開機後,rundll提示找不到30pzg8d.dll子產品的對話框不見了,在去SREng裡查找,還有這個服務,又删除一次,并在系統資料庫裡查找xy6pchlxf,删除所有相關項,重新開機。OK
7、總結:這個木馬病毒不向以前的病毒容易找到,一般都是在系統資料庫的啟動組裡。它是由一個驅動程式提供的服務來啟動這個木馬,木馬程式被删除後,rundll就報錯,而rundll啟動的程式又很多,不容易找。通過冰刃icesword和SREng(System Repair Engineer)這兩個工具進行系統修複确實很有幫助。冰刃icesword的強制删除那是相當的利害,比瑞星的粉碎檔案要可靠。當然瑞星防毒軟體能夠檢查出這個病毒也功不可沒,但不能删除30pzg8d.dll,和xy6pchlxf.sys說明功能還有待提高。
本文轉自tiasys部落格園部落格,原文連結:http://www.cnblogs.com/tiasys/archive/2007/12/11/990391.html,如需轉載請自行聯系原作者
![Windows系統下通過CMD指令行或運作視窗打開常用附件和功能[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)