搜索之,发现不少朋友也中了这个木马,wangwang9999总结了一个解决方法,如下:
1.现象
该组程序安装后,重起前诺顿反病毒ewido反木马软件查不出来。但当机器重起后,ewido防护盾会持续报警发现大量木马。该组程序在WINDOWS目录下新建了: nvdia,MYSvicp,HSPlzh,HSRlzh,explorer 和wsxs等多个子目录。还有HSPlzh2.DLL(Backdoor.Hupigon.bnh)等几个文件,一个重要特征是它们的创建时间均相同!
其中子目录explore下有一个假的explore.exe文件(K数比真的小),注册表中有对应的添加项。使得当系统调用explore.exe进入桌面时,指向了这个假的!
另外系统被创建了2个新的服务:HSPLZH2和HSRLZH2,作用不明,疑似服务器端以便接受lzhmhznr 的控制。
2.我的清除方法
2.1用本站以前发布的红叶启动盘启动机器,进入WINDOWS系统所在分区。删除前述具有同一时间特征的全部子目录和文件。不要打算在本机安全模式下删除,多数删不了!
2.2硬盘重启后,系统会报错!因为后门木马程序没了。应该搜索注册表,搜索有“\explore\explore.exe”的键,删掉!
2.3进入控制面板-管理工具-服务,很容易找到HSPLZH2和HSRLZH2 两个服务。先记下说明文字“创建系统服务,如果..........”,然后分别禁用!如果已启动则需要先停止。
2.4搜索注册表中两个服务的相应定义,关键字是“创建系统服务,如果”,找到后全部删掉。
到这里,基本可以放心了,因为后门服务和程序都没有了,自然就和lzhmhznr 告别了。
2.5如果你心里还不舒服而且你是高手,可以再搜索删除注册表中其余的HSPLZH2和HSRLZH2:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_HSPLZH2
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_HSRLZH2
3.应急措施
如果你对以上的步骤感到困难,可以先禁用那2个服务:HSPLZH2和HSRLZH2。
