昨天打开网友传过的压缩文件,结果中了个木马,运行后任务管理器多出了个calc.exe和iexplore.exe进程,典型的特洛伊木马,插入IE运行以绕过防火墙。同时,服务里多出windows_rejoice2009服务,还有描述:上兴远程控制服务端。具体路径:C:\Program Files\Common Files\Microsoft Shared\MSINFO\rejoice2009.exe。在每个盘根目录下生成Autorun.inf 和rejoice2009.exe文件
附:autorun.inf文件。。
[AutoRun]
open=rejoice2009.exe
shellexecute=rejoice2009.exe
shell\Auto\command=rejoice2009.exe
类似以前的U盘病毒,双击盘符等于运行病毒。不过手动删掉每个盘下面的autorun.inf和rejoice2009.exe后,重启也不会自动生成。
       但是,如果手动结束掉被插入的iexplore.exe,病毒会自动重新启动,又启动新的iexplore.exe并将自身进程插入其中,估计是calc.exe进程调用的。同样,结束calc.exe进程后,又被另一个进程启动calc.exe。可以猜测是双进程保护,看来要用批处理了。新建一记事本,输入以下内容:
@echo off
taskkill /f /im calc.exe
taskkill /f /im iexplore.exe 
pause.
把该记事本后缀名改成bat。双击运行(运行前不要运行IE,只保留病毒调用的IE)就可以把这两个进程结束掉了。
       开始-运行-regedit,打开注册表,找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows_rejoice2009,把widows_rejoice2009文件夹删除。发现在C:\Program Files下面有_rejoice2009.exe文件,估计也是病毒备份的,删掉。再找到C:\Program Files\Common Files\Microsoft Shared\MSInfo,把这里面的rejoice2009.exe删掉,还有C:\WINDOWS\Prefetch里面的REJOICE2009.EXE-2A62B1AD.pf也删掉。
至此,木马就被完全清除掉了,如果不放心,可以用杀毒软件再进行下全盘扫描,看还有没有遗漏的病毒文件。
       如果上面的杀毒方法太麻烦,可以做一个批处理来进行查杀。
{
@echo off
taskkill /f /im calc.exe
taskkill /f /im iexplore.exe 
attrib -s -r -h "C:\Program Files\Common Files\Microsoft Shared\MSInfo\rejoice2009.exe"
del /f "C:\Program Files\Common Files\Microsoft Shared\MSInfo\rejoice2009.exe"
attrib -s -r -h "C:\Program Files\_rejoice2009.exe"
del /f "C:\Program Files\_rejoice2009.exe"
reg delete "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows_rejoice2009" /f
cd\
setlocal enabledelayedeXPansion
for /f "skip=1 tokens=2,3 delims= " %%a in ('fsutil fsinfo drives^|find /v ""') do (
set aa=%%a
set aa=!aa:~-2!
for %%i in (!aa!) do (
attrib -s -r -h %%aautorun.inf
attrib -s -r -h %%arejoice2009.exe
del /f %%aautorun.inf
del /f %%arejoice2009.exe
)
)
echo 病毒已经清除。
pause.
}
       新建一个文本文件,把上面大括号里的内容复制进去,保存后缀名为.bat。运行即可。同样可以用于类似的病毒
[url]http://www.beidaqingniao.org[/url]