我的注册表项中有一个奇怪的字符:
"C:\Program Files (x86)\Google\Desktop\Install\{a33ad396-dacb-512c-46ab-10675be7c6b5}\ \...\ﯹ๛\{a33ad396-dacb-512c-46ab-10675be7c6b5}\GoogleUpdate.exe" <
"C:\Users\Bart\AppData\Local\Google\Desktop\Install\{a33ad396-dacb-512c-46ab-10675be7c6b5}\dxÙ\" h\.ù[\{a33ad396-dacb-512c-46ab-10675be7c6b5}\GoogleUpdate.exe" >
C:\Users\Bart\AppData\Local\Google\Desktop\Install\{a33ad396-dacb-512c-46ab-10675be7c6b5}\❤≸⋙\Ⱒ☠⍨\ﯹ๛\{a33ad396-dacb-512c-46ab-10675be7c6b5}\L
一切都与这两个角色有关:ﯹ๛
(尝试将其复制到记事本并查看会发生什么)
您在该字符后面输入的所有内容都是从右到左的。
error reading the value's contents当您打开子项时, Regedit 无法读取此值并给出此错误:。Run这就是我根本无法删除此条目的原因。
我几乎确信它是 ZeroAccess 恶意软件。
这里发生了什么?
答案1
您无法修改它,因为它具有 reg_none 值,您需要一个本机注册表编辑器来加载配置单元,然后从那里将其删除。但是,您可以删除整个运行键,这样就没问题了。您可以在此处找到有关此 rootkit 的更多信息http://www.virusresearch.org/zeroaccess-botnet-crippled-but-not-dead/
答案2
不确定它是哪种 Marlware,但使用 RegAssassin,它应该能够删除任何注册表项。
http://www.malwarebytes.org/products/regassassin/
至于病毒本身,请安装卡巴斯基互联网安全试用版(我最喜欢的也是最强大的 AV 软件之一)并运行扫描。
答案3
卡巴斯基有一个免费的 Rootkit Remover 工具,称为 TDSSKiller,其中包括 ZeroAccess Rootkit 删除功能(这就是您所拥有的,我可以通过 Google/Desktop/Install 下的签名 Unicode 反向字母文件夹判断出来)。
http://support.kaspersky.com/us/5350
此外,http://www.GMER.net工具将允许您删除这些注册表项。