又见病毒--IRJIT.DLL

   昨天，跟朋友出去玩了。电脑给另一个朋友在用。今天开机的时候象往常一样瞥了下任务管理器。18个进程，突然地多出来个"rundll32.exe"的进程。又中病毒了--自觉告诉我。满以为自己的电脑还比较安全，就什么杀毒软件和防火墙也没装。没想到还是疏忽了。赶紧查一下，

   在注册表里找个一圈，常见的启动项里都没有个rundll32 开始怀疑在服务项里.

   在命令行下运行：tasklist /svc         

C:\Documents and Settings\jincaogg>tasklist /svc

图像名                       PID 服务
=============================================
System Idle Process            0 暂缺
System                         4 暂缺
smss.exe                     440 暂缺
csrss.exe                    500 暂缺
winlogon.exe                 524 暂缺
services.exe                 568 Eventlog, PlugPlay
lsass.exe                    580 ProtectedStorage, SamSs
svchost.exe                  732 DcomLaunch
svchost.exe                  808 RpcSs
svchost.exe                  932 Dnscache
rundll32.exe                1056 BRGNS
inetinfo.exe                1084 IISADMIN, MSFtpsvc, W3SVC
...............................
以下暂略...

   果然在服务brgns里

   再次运行:sc qc brgns

C:\Documents and Settings\jincaogg>sc qc brgns
[SC] GetServiceConfig SUCCESS

SERVICE_NAME: brgns
        TYPE               : 10  WIN32_OWN_PROCESS
        START_TYPE         : 2   AUTO_START
        ERROR_CONTROL      : 1   NORMAL
        BINARY_PATH_NAME   : C:\WINDOWS\SYSTEM32\RUNDLL32.EXE C:\WINDOWS\SYSTEM32\WBEM\IRJIT.DLL,Export 1087
        LOAD_ORDER_GROUP   :
        TAG                : 0
        DISPLAY_NAME       : IPSEC Client
        DEPENDENCIES       :
        SERVICE_START_NAME : LocalSystem

  终于在服务IPSEC Client里找到了他的踪影，在BINARY_PATH_NAME里发现了它的原形：IRJIT.DLL 藏在WBEM目录里（百密一疏--居然在WBEM里有写入权限）

  到服务管理里看了下，发现了IPSEC Client正在运行

赶忙停止了先，把启动类型改为手动。重新启动，没有发现那可恶的IRJIT.DLL运行了，在命令行里运行:sc delete brgns，并删除IRJIT.DLL.

   好了，一切恢复正常！

   事后到GOOGLE里一搜才发现中这种病毒的不止我一个人，还有很多都在问，所以就把我解决的办法贴出来了，希望对大家能有所帮助>.