您的位置：程序门 -> windows专区 -> 安全技术/病毒

病毒－－无法关闭的服务

[收藏此页] [打印本页]选择字色：背景色：字体：[大][中][小]

病毒－－无法关闭的服务[已结贴,结贴人:tiger_zhao]

发表于：2007-12-07 15:58:01 楼主

中文win2000 sp4，发现以下两个文件：
%sysdir%\7fa1.exe ¦ 52.0 kb （53,248 字节)
看文件属性，源文件名是iehpr.dll，通过killbox强制删除了。

%sysdir%\system32\drivers\9kau0h5w7h.sys ¦ 21.7 kb （22,304 字节)
用killbox直接删或启动时删除都不行，该文件一直被加锁方式打开着。
任务列表中没有，我甚至用 process explorer 工具查看每个进程加载的dll也没有。
服务列表中也没有。
最后自己在注册表中找到以下项目，却发现每隔3秒钟会被重新设置一遍。

inifile code

windows registry editor version 5.00

[hkey_local_machine\system\currentcontrolset\services\9kau0h5w7h]
;imagepath="system32\drivers\9kau0h5w7h.sys"
"imagepath"=hex（2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,  52,00,49,00,56,00,45,00,52,00,53,00,5c,00,39,00,6b,00,61,00,75,00,30,00,68,  00,35,00,77,00,37,00,68,00,2e,00,73,00,79,00,73,00,00,00
"type"=dword:00000001
"errorcontrol"=dword:00000001
"displayname"="9kau0h5w7h"
"group"="system bus extender"
"start"=dword:00000000

将设备管理中的所有usb设备全部删除，无效。
安全模式命令行，也无法删除。

求助。

发表于：2007-12-07 17:23:361楼得分:5

用杀软在安全模式下查杀一下！再删除试试！

发表于：2007-12-08 13:53:312楼得分:5

下载 icesword，到安全模式下强制删除system32\drivers\9kau0h5w7h.sys

重启电脑，删除注册表中9kau0h5w7h.sys的服务启动项

发表于：2007-12-10 09:44:553楼得分:0

安全模式下扫描病毒无反应。
安全模式小icesword依旧无法强制删除文件，icesword的内核列表中可以看到9kau0h5w7h.sys。
只要9kau0h5w7h.sys在内存中，注册表每3秒会重写一次。

发表于：2007-12-10 11:54:024楼得分:15

设备管理器 - 显示隐藏的设备 - 非即插即用驱动程序
找到相关项，禁用，重启，删文件、删注册表的hkey_local_machine\system\currentcontrolset\services\9kau0h5w7h

发表于：2007-12-10 20:19:545楼得分:5

安全模式下，删除注册表中9kau0h5w7h
再删除文件
重启，再删文件，注册表
如此3次，应该清得差不多

发表于：2007-12-11 08:55:576楼得分:0

drifter250771的方法正确，不过删除注册表后还需要重启一次，因为此时icesword的内核列表中还可以看到9kau0h5w7h.sys。
学会怎么对付隐藏的设备了，谢谢。