yg8硬质合金刀:系统出了问题,急急急.

到“WINDOWS找不到文件“LOADHW.EXE”,”的朋友请注意！！ 我昨天上网，木马克星报：
新建文件: C:\WINDOWS\SYSTEM32\msitinit.dll 2006-4-11 12:09:44
新建文件: C:\WINDOWS\SYSTEM32\LOADHW.EXE 2006-4-11 12:09:44
扫描了 25个进程，
扫描结束.
没有发现木马，系统安全!
我删除LOADHW.EXE 后
开机弹出一个小窗口显示:WINDOWS找不到文件“LOADHW.EXE”,请确定文件名是否正确后,再试一次,重搜索文件,请单击开始按钮,然后单击"搜索"确定以上提示字样

在百读里搜：
一次木马处理经历

前几天发现自己所在的局域网中网络突然出现故障 网络阻塞 经过检查发现 有一台计算机 不停地向网内各机器发送arp的数据包 好像类似以前见过的arp伪装攻击在处理这台机器的时候 发现发起攻击的主要罪犯是一个名为 msitinit.dll 的文件 在注册表及启动项里查找不到它删除之后又在启机的时候生成 后来发现 是一个名字为LoadHW.exe的可执行程序调用了这个dll文件 然后自行终止 并把msitinit.dll加载到explorer.exe中运行 注册表里依然没有loadhw.exe的值 于是想法找到loadhw.exe 删除 再次启机后又发现 有什么东西要打开loadhw.exe 所以提示“找不到loadhw.exe" 最终又发现一个名为npf.sys的文件 在启动时注册成为一个服务 并执行loadhw.exe所以在注册表中找到npf.sys删除 最终问题得以解决 。这种情况有点类似网上传的 mytob蠕虫只不过不清楚mytob是否也以arp攻击的形式做乱 把这个过程写下来给大家以备借鉴。

我把注册表里搜到的npf.sys，loadhw.exe 全删。

大家要警惕木马啊！！

转贴！！！！！！！！！！！！！！！！！

开始运行REGEDIT
找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] 和 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 里面都是自启动项目.
有LOADHW的删了就可以了

删除BookStore.trojan(LOADHW.EXE)木马的方法！
该木马一共有三个文件，分别是：
C:\WINNT\System32\LOADHW.EXE
C:\WINNT\System32\msitinit.dll
C:\WINNT\System32\drivers\npf.sys

LOADHW.EXE是一个安装文件，在会把自己注册在：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
如果它被删除掉，并不影响木马的运行，只是在开机时会报该文件不存在。

msitinit.dll是常驻内存的，但注册表中并没有记录它（很狡猾）。

npf.sys注册为一个服务程序，且在“控制面板->管理工具->服务”中看不到，要在注册表中才能看到：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Npf
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTF
它负责在启动时将msitinit.dll调入内存，以及一些其它操作。

用WinPatrol软件中CAT将这三个文件都列入黑名单（不然msitinit.dll会在开机时驻进内存而无法删除），重启电脑，删除这些文件和相应的注册表记录，病毒就给删除了。

虽然病毒删除了，但也在注册表中留下了很多的垃圾键值，且我还不知道删除这些键值会不会对系统有什么影响，所以一直没有敢冒然清理：
例如，在Npf的注册项里有一个ClassGUID={8ECC055D-047F-11DI-A537-0000F8753ED1}
有不少地方都有对它的引用。另外，如果你用UltraEdit打开npf.sys，其中一部分是乱码，还有一部分可识别的文本中就有一些注册表键值，我也不清楚能否删除它们，所以只好保留着。