win32smd.exe、winsmd.exe、vktserv.exe木马病毒

终于杀掉了win32smd.exe、winsmd.exe、vktserv.exe木马病毒


花了五天，终于杀掉了win32smd.exe、winsmd.exe、vktserv.exe这三个让我十分郁闷的木马病毒，这三个木马都是同一粪坑里长出来的东东。
10月31日，我发现我的启动项里多了一个不熟悉的win32smd.exe，先是手工取消，重启后又出现在启动项里，先后用卡巴斯基、超级兔子、arswp、QQkav、360安全卫士查杀修复过，均不能解决问题，重启后依然出现在自动运行里，搞得我郁闷非常。本来想GHOST回去算了，也就2分钟解决问题，可心有不甘，决定搞明白是怎么回事。
看来只能求助于网上了，可搜索了多次，只见描述症状的，不见查杀方法的，在360论坛上举报了，可版主机械性地回复了一下（每个贴他都那样回，回复内容一字也不差），看来只能靠自己了，可对我这个菜菜来说，这简直象在登天。
在寻找查杀方法过程中，我发现这三个木马有同一个祖宗，那就是：SOUNDM。我想病毒文件应该都藏在WINDOWS和Program files两个文件夹里，在WINDOWS里的SYSTEM和SYSTEM32是重灾区，于是我开始一步一步地寻找这罪恶的根源：
一、取消相关启动项：运行msconfig－启动－把这三个木马的自动运行取消，，也可以运行regedit停止，这里不详说。
二、修改文件属性一，打开－工具－文件夹选项－查看，取消掉：隐藏受保护的操作系统文件，选择：显示所有的文件，再先后用win32smd.exe、winsmd.exe、vktserv.exe搜索一下WINDOWS和Program files两个文件夹，找到这三个文件后直接删除。
注：刚开始都做到这里就重启电脑，可重启后启动项里依然出现，真是郁闷，我清楚记得10月31日我没安装什么文件，而这病毒是这天出现的，所以我决定使用排查法，找出WINDOWS和Program files两个文件夹里所有在10月31日里新增的文件，于重新做了一、二两步。再接下去做第三步：
三、先排查Program files文件夹，把不认识的程序文件夹的日期（点查看－详细信息－修改日期）证实一下，没发现10月31日新增的文件夹，排出嫌疑。
四、排查WINDOWS文件夹：除了刚才搜索出来的文件都是10月31日新出现的，再排查windows下sysytem文件夹和sysytem32文件夹，还发现在C:\WINDOWS\SYSTEM32\DRIVERS\目录下,有一个隐藏的文件npf.sys也是10月31日新出现的。二话不说直接删除。
五、运行regedit进入注册表，先后用win32smd、winsmd、vktserv、npf为关键字全面搜索一下注册表，找到相应键值后都删除掉。
清理完毕，重启电脑，一切OK了！
不难看出。这个病毒的罪魅祸首就是npf.sys，这文件不找出来删除，一切都是徒劳。

希望能给也中了这种病毒的网友提供小小的借鉴！

from 百度知道 > <cc></cc>电脑/网络 > 反病毒

google_ad_client = "pub-2416224910262877"; google_ad_width = 728; google_ad_height = 90; google_ad_format = "728x90_as"; google_ad_channel = ""; google_color_border = "FFFFFF"; google_color_bg = "FFFFFF"; google_color_link = "0000FF"; google_color_text = "000000"; google_color_url = "008000";

相关文章:

盗取QQ密码的顽固的IEXPLORE.EXE病毒

修改权限防止病毒或木马等破坏您的系统

都是自动更新惹得祸

彻底查杀维金ViKing病毒

通过对一个病毒源码的分析，了解VBS脚本语言的应用

Hooks（钩子）监听消息的方法

常见木马清除法

u盘破坏者病毒