00年7月8日晚,打开计算机桌面出现一个名为“新浪游戏总动园”的快捷方式直接连接到新浪http://igame.sina.com.cn/.exe三个常驻文件,并且在系统启动项中自动加载,
删除新浪“游戏总动园”类病毒插件DIY
。也就是说,如果你不处理这两个文件,就会自动在桌面产生一个名为“新浪游戏总动园”的快捷方式。不仅仅如何,新浪还将NMgamex.dll文件与系统启动文件rundll.exe进行绑定,并且伪造系统文件csr.exe,产生一个同名的文件与系统绑定加载到系统启动项内,无法直接关闭系统进程后删除。删除方法:首先修改注册表,关闭名为启动项:nmgamex.dll、csr.exe,然后删除nmgamex.dll、sinaproc7.exe两个文件,再修改csr.exe文件为任意一个文件名。从新启动计算机后删除修改的csr.exe文件。
本人计算机为WINK操作系统,其动项键值如下:
一:启动名称为:nmgamex_autorun类型:REG_SZ键值:C:WITsystemRundll.exeNMGameX.dll,LiveProce/aa
二:启动名称为:csr.exe类型:REG_SZ键值:C:WITcsr.exe
文件所在目录:
csr.exec:witcsr.exe;正确的系统文件目录为:c:witsystemcsr.exe;
cctv5.exec:cctv5.exe;
sinaproc7.exec:witsystemsinaproc7.exe;
NMWizardA.exec:witNMWizardA.exe
nmgamex.dllc:witsystemnmgamex.dll
察看文件NMGameX.dll属性:在版本项中可以看到如下信息:
备注:ORT-新浪体育频道
产品版本:,0,0,
产品名称:NMGAMEN.XEngine
个人用内部版本说明:无
公司名称:NMGameX
合法商标:无
内部名称:NMGameX
特殊内部版本说明:无
语言:中文(中国)
源文件名:NMGameX.dll