文件 snapman.sys是存放在目录 C:\Windows\System32\drivers。已知的 Windows 7/Vista/XP文件大小为 132,224字节(占总出现比率 17%),99,776字节及 13种其它情况。驱动程序可以在【控制面板-管理工具-服务】中开始或停止,或者由其他程序所控制。程序是不可见的。没有关于这服务的详细注释。这个不是 Windows系统文件。 snapman.sys似乎是被压缩过的文件总结在技术上威胁的危险度是 28%。
推荐:识别和snapman.sys相关的问题
打开网页会不断的弹出cmd
一、分析
查看进程,多出三个可疑internet.exe,SOUNDMAN.EXE,conime.EXE
2.在C:\WINDOWS里面有alcrmv.exe和alcupd.exe,SOUNDMAN.EXE这些程序
3.在目录"C:\WINDOWS\system"下:
IceHBO.dll
jwm.exe
wo2.exe
ztt.exe
conime.EXE(注:正常的conime.exe是输入法编辑器,在c:\windows\system32下面,大小为27,648字节)
SYSTEM32.vxd
internet.exe
如果npf.sys、windhcp.ocx没有删除,仅删除后上述文件,有可能在目录"C:\WINDOWS\system"下再次生成
conime.exe
ienet.exe
jwm.exe
mir.exe
SYYTEM32.tmp
ztt.exe
等病毒文件。
4.察看explorer.exe加载的模块,可疑的为:
C:\WINDOWS\system32\windhcp.ocx
5.察看服务管理,可疑的有:
"C:\WINDOWS\system32\Drivers\”下的
npf.sys
snapman.sys
wzpsazsn.sys
二、处理手段及步骤:
1.中止三个可疑的进程internet.exe,SOUNDMAN.EXE,conime.EXE
2.删除上述提到的文件
C:\WINDOWS下的:SOUNDMAN.EXE,alcrmv.exe和alcupd.exe
C:\WINDOWS\system下的:internet.exe、jwm.exe、wo2.exe、ztt.exe、conime.EXE、SYSTEM32.vxd、internet.exe
但是IceHBO.dll无法直接删除、可用IceSword1.2(下载该软件)删除
3."C:\WINDOWS\system32\Drivers\”下的可疑文件也用IceSword1.2删除
npf.sys
snapman.sys
wzpsazsn.sys
4.用syscheck(下载该软件)卸载IE加载的可疑的模块windhcp.ocx,步骤为:
syscheck->进程管理->选中explorer.exe(还是iexplorer.exe?有点忘记了!!)->
在模块信息栏中选中windhcp.ocx->点击右键在弹出菜单中选择“卸载并删除模块”
或:
开始菜单—>运行—>services.msc,里面有个Windows DHCP Services,如在运行,则停止之,设为“已禁用”。C:\windows\system32\Drivers下,找到xpdhcp.dll/windhcp.ocx,删除之。
5.搜索注册表,删除含有internet.exe,conime.EXE内容的条目
ok!
===============备注=================
1.Internet.EXE--网络神偷
网络神偷会在注册表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]下建立键值“internet”,其值为internet.exe/s,将键值删除;
删除其自启动程序C:\Windows\SYSTEM\Internet.EXE。神偷完蛋了!
2.conime.exe-【伪装成输入法】以开机自运行
在C:\WINDOWS\system下伴随conime.exe出现的常有SYSTEM32.tmp、jwm.exe等文件
3.soundman.exe启动项,可能是声卡服务程序,声卡优化用的,删除了也不要紧的。
4.npf.sys--注册为一个服务程序,且在“控制面板->管理工具->服务”中看不到,要在注册表中才能看到: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Npf
可能与ARP木马有关:
点开始里的搜索查找Loadhw.exe,Msitinit.dll,Npf.sys文件,找到了就删除。
运行regedit,查找注册表的loadhw.exe,Msitinit.dll,Npf.sys找到了就删除。OK了!
ntsd-c q-p是用来终止进程的命令,本来是系统文件,估计被病毒利用了,建议用U盘病毒专杀工具查杀。(估计是autorun病毒)
建议你用杀毒软件先扫描你的电脑,然后修复ie
换个浏览器看看
好了,本文到此结束,如果可以帮助到大家,还望关注本站哦!
