【原创】借助瑞星在线查毒解决Trojan.DL.GPigeon.a和Exploit.HTML.Mht

作者：endurer
今天一个同事的电脑开机出现蓝屏死机：

FileName: VWIN32(05)+00000BF$ error OE:0028:C)ZA3E54

该电脑使用Win ME。

一、重新启动计算机到安全模式。

二、用msconfig.exe检查开机启动项，发现名为Net可疑启动项（如下图所示），对应的文件为c:/windows/system/svch0st.exe（注意文件名中的h和s之间的是数字0）



把三个可疑的Net启动项取消

三。设置系统显示所有文件，不隐藏文件扩展名

方法是：

1. 启动 我的电脑或Windows 资源管理器。
2. 单击“查看”菜单 (Windows 95/98/NT) 或“工具”菜单 (Windows Me/2000/XP)，然后单击“选项”或“文件夹选项”。
3. 单击“查看”选项卡。
4. 取消选中“隐藏已知文件类型的扩展名”。
5. 执行下列操作之一：
Windows 95/NT。单击“显示所有文件”。
Windows 98。在“高级设置”框的“隐藏文件”文件夹下，单击“显示所有文件”。
Windows Me/2000/XP：取消“隐藏受保护的操作系统文件”前的钩，并在“隐藏文件和文件夹”文件夹下，单击“显示所有文件和文件夹”。
6. 单击“应用”，然后单击“确定”。

四、用资源管理器打开c:/windows/system，用菜单：查看--》排列图标--》按日期

找到了可疑文件svch0st.exe和sfc2.dll，如下图所示：
（注意：svch0st.exe以文件夹为图标，有很大的迷惑性）



可疑文件svch0st.exe的属性



可疑文件sfc2.dll的属性



五、接下来在C:/找到两个文件web.exe和downSys.exe，这两个文件的图标（也是以文件夹作为图标）和文件属性（如文件大小，功能描述等）均与svch0st.exe相同。如下图所示：

可疑文件web.exe的文件属性
（downSys.exe的文件属性除文件名外，与web.exe相同，故不再上传）



估计其他文件夹可能还有，决定先用瑞星在线免费查毒功能检查。

六、正常启动windows，到

http://online.rising.com.cn/ravonline/RavSoft/Rav.asp

使用瑞星在线免费查毒功能，结果发现两个Trojan.DL.GPigeon.a和一个Exploit.HTML.Mht，如下图所示。前面发现的svch0st.exe、sfc2.dll、web.exe和downSys.exe均未报。


七、又用Mcafee在线免费查毒，结果比瑞星多报了一个，如下图所示。

前面发现的svch0st.exe、sfc2.dll、web.exe和downSys.exe仍未报。



八、清除病毒文件：
关闭所有浏览器窗口
用“瑞星杀毒助手”删除全部染毒文件。
点击这里下载瑞星杀毒助手 for win 2000/xp
点击这里下载瑞星杀毒助手 for win 95/98/me
由于病毒文件都在IE临时文件夹中，也可以通过清空IE临时文件夹来解决。
方法是：关闭所有浏览器窗口

开始--》设置--》控制面板--》internet选项——删除文件，
可以把“删除所有脱机内容”选上



九、安装AntiVir V6.31 Personal Edition 个人版，并升级到最新版本再查，没有发现病毒。

十、把可疑文件svch0st.exe、sfc2.dll、web.exe和downSys.exe拷到软盘，用最新版本的卡巴斯基扫描，也不报。

不过从文件图标及文件属性来看，可疑文件svch0st.exe、sfc2.dll、web.exe和downSys.exe很可能是未知病毒。