----------------------------------
teYqiu【天下无毒】原创文章,转载请标明。http://hi.baidu.com/teyqiu
百度知道反病毒知识专家崔衍渠 授权。 『转载请保留此申明!』
----------------------------------
本文的眼:威金下载的木马花样繁多,令人眼花缭乱。
建议全部安全模式下操作。操作前准备好如下提及的各种工具SRENG, POWERRMV等。
重启计算机 然后再进入安全模式执行如下的操作
--------------------------------------------------------------
以下的操作都要求安全模式下进行。
[安全模式?重启电脑时按住F8 选择进入安全模式]
--------------------------------------------------------------
1. 杀毒前关闭系统还原(Win2000系统可以忽略):右键 我的电脑 ,属性,系统还原,在所有驱动器上关闭系统还原 打勾即可。
清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点“删除文件”按钮 ,将 删除所有脱机内容 打勾,点确定删除。
2.用强制删除工具 PowerRMV 下载地址: http://post.baidu.com/f?kz=158203765
分别填入下面的文件(包括完整的路径) ,勾选“抑止杀灭对象再次生成”,点杀灭 有找不到提示的请忽略
C:\Autorun.inf
C:\ghost.exe
C:\WINDOWS\rundl132.exe
C:\WINDOWS\winamps.exe
C:\WINDOWS\system32\expiorer.exe
C:\WINDOWS\realupdate.exe
C:\WINDOWS\D;]XJOEPXT]ufnq]te262/fyf
C:\WINDOWS\system\Mvvp.dll
C:\WINDOWS\g5.dll
C:\WINDOWS\system32\spoolsvv.exe
C:\WINDOWS\system32\sdfghjgewaertyutrew.exe
C:\WINDOWS\cmdbcs.exe
C:\program files\internet explorer\WINLOGON.EXE
C:\WINDOWS\system32\rkwqvp30.dll
C:\WINDOWS\system32\winsys16_070105.dll
C:\Windows\system32\CIPVDKRXELSZIP.EXE
C:\PROGRA~1\COMMON~1\qrdm\xvkt.dll
C:\WINDOWS\system32\ubhyd.dll
C:\WINDOWS\system32\drivers\restore.dll
C:\WINDOWS\system32\Rpcs11.exe
C:\WINDOWS\SYSTEM32\WBEM\SAXHK.DLL
c:\windows\system32\sqlservech.dll
c:\windows\system32\xpdhcp.dll
c:\windows\system32\windhcp.ocx
C:\WINDOWS\system32\MDserivces\services\Svchost.dll
C:\WINDOWS\system32\WmdmPmSp.dll
3. 用工具 SREng 删除如下各项
下载及其使用方法看下面的链接,看懂再下手操作!
http://hi.baidu.com/teyqiu/blog/item/f706213fc52346ec54e72351.html
【如下操作有风险,必须看懂上面的方法再操作。】
启动项目 -->注册表 的如下项删除
<winsamps><C:\WINDOWS\winamps.exe> []
<SyztMy><C:\WINDOWS\system32\expiorer.exe> [N/A]
<updatereal><C:\WINDOWS\realupdate.exe other> [N/A]
<UUpdate><C:\Program Files\UUSee\UUpdate.exe> [N/A]
<load><C:\WINDOWS\rundl132.exe> []
<sdafdsafds><D;]XJOEPXT]ufnq]te262/fyf> [N/A]
<dfsf><RUNDLL32.EXE C:\WINDOWS\system\Mvvp.dll,DImmcv> [N/A]
<ty><rundll32.exe C:\WINDOWS\g5.dll _start@16
> [N/A]
<spoolsvv><C:\WINDOWS\system32\spoolsvv.exe> [N/A]
<sdfghjgewaertyutrew.exe><C:\WINDOWS\system32\sdfghjgewaertyutrew.exe> [Microsoft Corparation]
<cmdbcs><C:\WINDOWS\cmdbcs.exe> [N/A]
<RavMonHelp><C:\program files\internet explorer\WINLOGON.EXE> [N/A]
<rkwqvp30><%systemroot%\system32\Rundll32.exe %systemroot%\system32\rkwqvp30.dll,DllUnregisterServer> [N/A]
如下项目是编辑 不是删除!
<Userinit><C:\WINDOWS\system32\userinit.exe,rundll32.exe C:\WINDOWS\system32\winsys16_070105.dll start> [N/A]
编辑为默认
<Userinit><C:\WINDOWS\system32\userinit.exe,>
==================================
启动项目 -->服务-->Win32服务应用程序 的如下项删除
[XsIntereateOrd / IntereateOrd][Stopped/Auto Start]
<C:\Windows\system32\CIPVDKRXELSZIP.EXE><N/A>
[Vsn klxg Service / klxg][Stopped/Auto Start]
<C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\COMMON~1\qrdm\xvkt.dll,Service><Microsoft Corporation>
[Event Service / Patterns][Stopped/Auto Start]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\ubhyd.dll><Microsoft Corporation>
[RestoreService / RestoreService][Stopped/Auto Start]
<C:\WINDOWS\system32\Svchost.exe -k RestoreService-->C:\WINDOWS\system32\drivers\restore.dll><Microsoft Corporation All rights reserved>
[Remote Procedure Call System(11RPCS) / RpcS11][Stopped/Auto Start]
<C:\WINDOWS\system32\Rpcs11.exe><Microsoft Corporation>
[Performance Moniter / SHipING][Stopped/Auto Start]
<C:\WINDOWS\SYSTEM32\RUNDLL32.EXE C:\WINDOWS\SYSTEM32\WBEM\SAXHK.DLL,Export 1087><N/A>
[SQLServer Supports / sqlservech][Stopped/Auto Start]
<C:\WINDOWS\System32\svchost.exe -k sqlservech-->c:\windows\system32\sqlservech.dll><Microsoft Corporation>
[Windows DHCP Service / WinDHCPsvc][Stopped/Auto Start]
<C:\WINDOWS\system32\rundll32.exe windhcp.ocx,start><Microsoft Corporation>
[WindowsLogin / WindowsLogin][Stopped/Auto Start]
<C:\WINDOWS\system32\Svchost.exe -k WindowsLogin-->C:\WINDOWS\system32\MDserivces\services\Svchost.dll><Microsoft Corporation>
[WinXP DHCP Service / WinXPDHCPsvc][Stopped/Auto Start]
<C:\WINDOWS\system32\rundll32.exe xpdhcp.dll,start><Microsoft Corporation>
[Windows Media Connect Service / WmdmPmSp][Stopped/Auto Start]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\WmdmPmSp.dll><LINKMEDIA Tech>
==================================
启动项目 -->服务-->驱动程序的如下项删除
[00003ba1 / 00003ba1][Running/Boot Start]
<\SystemRoot\system32\drivers\00003ba1.SYS><N/A>
4. 用下文推荐的专杀工具清理其他受到感染的EXE文件
http://hi.baidu.com/teyqiu/blog/item/bd8aa97731568f1bb051b928.html
http://hi.baidu.com/teyqiu/blog/item/6369ddc4c3dc03cb39db496a.html
viking专杀
http://mopery.hits.io/viking.zip
熊猫专杀
http://mopery.hits.io/nimuya.zip
5. 最后
最后用 下文推荐的工具清理(第四个) 把能检测到的全选后点清理(删除)参考
http://post.baidu.com/f?kz=149133630
----------------------------------
teYqiu【天下无毒】原创文章,转载请标明。http://hi.baidu.com/teyqiu
百度知道反病毒知识专家崔衍渠 授权。 『转载请保留此申明!』
----------------------------------
|