一、问题的提出:http://hi.baidu.com/aisibo/blog(日志)
二、分析
1. 杀毒前关闭系统还原(Win2000系统可以忽略):右键 我的电脑 ,属性,系统还原,在所有驱动器上关闭系统还原 打勾即可。 清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点“删除文件”按钮 ,将 删除所有脱机内容 打勾,点确定删除。
2.用强制删除工具 PowerRMV 下载地址: http://post.baidu.com/f?kz=158203765 分别填入下面的文件(包括完整的路径) ,勾选“抑止杀灭对象再次生成”,点杀灭 【有找不到提示的请忽略错误继续】
C:\WINDOWS\system32\internet.exe c:\program files\rising\antispyware\ojcjoctc.dll C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys C:\Program Files\Internet Explorer\IEXPLORE.Sys C:\Program Files\Internet Explorer\IEXPLORE.Dat C:\Program Files\Internet Explorer\IEXPLORE.win C:\WINDOWS\System32\Fast.exe C:\WINDOWS\system32\spoolvc.exe C:\WINDOWS\SYSTEM32\WBEM\SMTPCONFS.DLL C:\WINDOWS\system32\ntfscrypt.exe C:\WINDOWS\System32\Rpcs.exe C:\WINDOWS\System32\Rpcsi.exe C:\WINDOWS\System32\Rpcsk.exe C:\WINDOWS\System32\Rpcsp.exe C:\WINDOWS\System32\Rpcsu.exe C:\WINDOWS\System32\Rpcsx.exe C:\WINDOWS\System32\windds32.dll C:\WINDOWS\System32\windhcp.ocx C:\WINDOWS\System32\wmids.exe C:\WINDOWS\pmnnlmn.dll C:\WINDOWS\System32\ssqrp.dll C:\WINDOWS\wuaucll.exe C:\WINDOWS\System32\NTDLL32.dll C:\WINDOWS\iexpl0re.exe C:\WINDOWS\winlog0n.exe C:\WINDOWS\system.exe C:\WINDOWS\System32\hrgecouc.dll C:\Progra~1\Eset\rund1132.exe C:\DOCUME~1\NIGHTM~1\LOCALS~1\Temp\logsony.exe C:\WINDOWS\System32\nqqup.dll C:\WINDOWS\synu.exe C:\DOCUME~1\NIGHTM~1\LOCALS~1\Temp\syre.exe C:\WINDOWS\System32\ldhync.exe C:\DOCUME~1\NIGHTM~1\LOCALS~1\Temp\upx1.exe C:\DOCUME~1\NIGHTM~1\LOCALS~1\Temp\1.exe C:\WINDOWS\wsttrs.exe C:\WINDOWS\alga.exe C:\WINDOWS\zaq5.exe C:\WINDOWS\zaq3.exe C:\WINDOWS\zaq4.exe C:\WINDOWS\zaq10.exe C:\WINDOWS\mppds.exe C:\WINDOWS\zaq2.exe C:\WINDOWS\sye.exe C:\Program Files\Common Files\System\Updaterun.exe C:\WINDOWS\G_Server2006.exe C:\WINDOWS\G_Server2006.dll C:\WINDOWS\G_Server2006key.dll C:\WINDOWS\G_Server2006_hook.dll C:\WINDOWS\G_Server2006.log
重启计算机 然后再进入安全模式执行如下的操作 -------------------------------------------------------------- 以下的操作都要求安全模式下进行。 [安全模式?重启电脑时按住F8 选择进入安全模式] -------------------------------------------------------------- 3. 用工具 SREng 删除如下各项 下载及其使用方法看下面的链接【有图解】,看懂再下手操作! SREng常用操作说明(2.0 RC2)www.45its.com/Article/pcedu/soft/200608/10405.htm 【如下操作有风险,必须看懂上面的方法再操作。】 【打开SREng后提醒“函数的内容与预期值不符他们可能被一些恶意的软件所修改”的错误请忽略,装杀软后的正常修改。】 ================================== 启动项目 -->注册表 的如下项删除 <0x6j7k6fuqze><; C:\WINDOWS\iexpl0re.exe> [N/A] <2d><; C:\WINDOWS\iexpl0re.exe> [N/A] <3jds14ibg4td6h><; C:\WINDOWS\winlog0n.exe> [N/A] <757vbfseudrtzf><; C:\WINDOWS\system.exe> [N/A] <8g018wxczd3><; C:\WINDOWS\iexpl0re.exe> [N/A] <8ium8t39igx6><; C:\WINDOWS\winlog0n.exe> [N/A] <937lezs2qc7mx><; C:\WINDOWS\iexpl0re.exe> [N/A] <gutje980sxs3cj8><; C:\WINDOWS\system.exe> [N/A] <i1qwgyy3fwv3h><; C:\WINDOWS\winlog0n.exe> [N/A] <j8182rq1y><; C:\WINDOWS\winlog0n.exe> [N/A] <mf><; C:\WINDOWS\winlog0n.exe> [N/A] <qf9dchz4dege><; C:\WINDOWS\system.exe> [N/A] <ravtask><; C:\Progra~1\Eset\rund1132.exe> [N/A] <svc><; C:\DOCUME~1\NIGHTM~1\LOCALS~1\Temp\logsony.exe> [N/A] <SymhMy><; C:\WINDOWS\System32\iexpl0re.exe> [N/A] <ul7vhxcmv2><; C:\WINDOWS\system.exe> [N/A] <vdeq89lte><; C:\WINDOWS\system.exe> [N/A] <xswq><; C:\WINDOWS\system.exe> [N/A] <y4w><; C:\WINDOWS\iexpl0re.exe> [N/A] <yg><; C:\WINDOWS\iexpl0re.exe> [N/A] <z4ij03biy7l><; C:\WINDOWS\winlog0n.exe> [N/A] <Internet><"C:\WINDOWS\system32\internet.exe"> [Microsoft Corporation] <5zxl><; C:\WINDOWS\alga.exe> [N/A] <91cast><; > [N/A] <CdnCtr><; C:\Program Files\CNNIC\Cdn\cdnup.exe> [CNNIC] <cmdbcs><; C:\WINDOWS\zaq10.exe> [N/A] <d10yvzicsu1><; C:\WINDOWS\winlog0n.exe> [N/A] <dew><; C:\WINDOWS\newzt.exe> [N/A] <DllRunning><; rundll32.exe "C:\WINDOWS\System32\hrgecouc.dll",setvm> [N/A] <Fast><; fast.exe> [Microsoft Corporation] <load><; C:\WINDOWS\uninstall\rundl132.exe> [N/A] <m01bwk><; C:\WINDOWS\iexp1ore.exe> [N/A] <mppds><; C:\WINDOWS\mppds.exe> [N/A] <msccr><; C:\WINDOWS\zaq2.exe> [N/A] <msci><; C:\WINDOWS\zaq2.exe> [N/A] <msvcc25><; svcchost.exe> [N/A] <NOPNewHelp><; C:\WINDOWS\zaq5.exe> [N/A] <Speek><; C:\WINDOWS\zaq5.exe> [N/A] <sye><; C:\WINDOWS\sye.exe> [N/A] <synu><; C:\WINDOWS\synu.exe> [N/A] <syre><; C:\DOCUME~1\NIGHTM~1\LOCALS~1\Temp\syre.exe> [N/A] <System><; C:\Program Files\Common Files\System\Updaterun.exe> [N/A] <SYSTEMS><; C:\Program Files\Common Files\rundll32.exe> [N/A] <taskswitch><; taskswitch.exe> [N/A] <upsy><; C:\DOCUME~1\NIGHTM~1\LOCALS~1\Temp\1.exe> [N/A] <upx1><; C:\DOCUME~1\NIGHTM~1\LOCALS~1\Temp\upx1.exe> [N/A] <verbvf><; C:\WINDOWS\System32\ldhync.exe> [N/A] <wsttrs><; C:\WINDOWS\wsttrs.exe> [N/A] <wsvbs><; C:\WINDOWS\zaq4.exe> [N/A] <{1A404685-7563-4d02-B0F6-58B308A406A9}><c:\program files\rising\antispyware\ojcjoctc.dll> [N/A] <{2D49692C-A5FD-4E29-A3CD-37E9B182FCC6}><C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys> [N/A] <{99F1D023-7CEB-4586-80F7-BB1A98DB7602}><C:\Program Files\Internet Explorer\IEXPLORE.Sys> [N/A] <{FEB94F5A-69F3-4645-8C2B-9E71D270AF2E}><C:\Program Files\Internet Explorer\IEXPLORE.Dat> [N/A] <{923509F1-45CB-4EC0-BDE0-1DED35B8FD60}><C:\Program Files\Internet Explorer\IEXPLORE.win> [N/A] <{481E7983-1F2B-4250-951A-44E0902DF978}><C:\WINDOWS\System32\pmnnlmn.dll> [N/A] <WinlogonNotify: pmnnlmn><pmnnlmn.dll> [N/A] <WinlogonNotify: ssqrp><C:\WINDOWS\System32\ssqrp.dll> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] <shell><Explorer.exe wuaucll.exe> [N/A] 修改为默认 <shell><Explorer.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows] <AppInit_DLLs><C:\WINDOWS\System32\NTDLL32.dll> [Microsoft Corporation] 修改为默认 <AppInit_DLLs><>
================================= 启动项目 -->服务-->Win32服务应用程序 的如下项删除
[760BE840 / 760BE840][Stopped/Auto Start] <C:\WINDOWS\System32\760BE840.EXE -service><N/A> [906DE2BC / 906DE2BC][Stopped/Auto Start] <C:\WINDOWS\System32\906DE2BC.EXE -service><N/A> [95E990D8 / 95E990D8][Stopped/Auto Start] <C:\WINDOWS\System32\95E990D8.EXE -service><N/A> [System Distribution Controller / distribcontrol][Stopped/Auto Start] <"C:\WINDOWS\system32\disctrl.exe"><N/A> [E982C258 / E982C258][Stopped/Auto Start] <C:\WINDOWS\System32\E982C258.EXE -service><N/A> [Indexing Manager / Framework][Running/Auto Start] <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\System32\nqqup.dll><Microsoft Corporation> [GrayPigeonServer / GrayPigeonServer][Stopped/Auto Start] <C:\WINDOWS\G_Server2006.exe><N/A>
[Internet Connection Manager / Internet Connection Manager][Stopped/Auto Start] <"C:\WINDOWS\System32\internet.exe"><Microsoft Corporation> [Local Debug Manager / Local Debug Manager][Stopped/Auto Start] <"C:\WINDOWS\system32\spoolvc.exe"><N/A> [Fast / NewServiceInstall1][Stopped/Auto Start] <C:\WINDOWS\System32\Fast.exe><Microsoft Corporation>
[Intranet Messenger / NHLscA][Stopped/Auto Start] <C:\WINDOWS\SYSTEM32\RUNDLL32.EXE C:\WINDOWS\SYSTEM32\WBEM\SMTPCONFS.DLL,Export 1087><N/A> [NTFS Crypto Technology / NTFSCrypt][Stopped/Auto Start] <"C:\WINDOWS\system32\ntfscrypt.exe"><N/A>
[Remote Managements Instrumenta / Remss_Ser][Stopped/Auto Start] <><N/A> [Remote Procedure Call System(RPCS) / RpcS][Running/Auto Start] <C:\WINDOWS\System32\Rpcs.exe><Microsoft Corporation> [Remote Procedure Call System(RPCSI) / RpcSI][Running/Auto Start] <C:\WINDOWS\System32\Rpcsi.exe><Microsoft Corporation> [Remote Procedure Call System(RPCSk) / RpcSk][Running/Auto Start] <C:\WINDOWS\System32\Rpcsk.exe><Microsoft Corporation> [Remote Procedure Call System(RPCSP) / RpcSP][Running/Auto Start] <C:\WINDOWS\System32\Rpcsp.exe><Microsoft Corporation> [Remote Procedure Call System(RPCSU) / RpcSu][Stopped/Auto Start] <C:\WINDOWS\System32\Rpcsu.exe><Microsoft Corporation> [Remote Procedure Call System(RPCSx) / RpcSx][Running/Auto Start] <C:\WINDOWS\System32\Rpcsx.exe><Microsoft Corporation> [Win32 Display Driver / Win32DDS][Stopped/Auto Start] <C:\WINDOWS\System32\\rundll32.exe windds32.dll,input><Microsoft Corporation> [Windows DHCP Service / WinDHCPsvc][Stopped/Auto Start] <C:\WINDOWS\System32\\rundll32.exe windhcp.ocx,input><Microsoft Corporation> [Windows Management Instrumentation Driver System。 / WMIDS][Stopped/Auto Start] <C:\WINDOWS\System32\wmids.exe><Microsoft Corporation>
最后用 下文推荐的360安全卫士 下载地址:www.360safe.com 把能检测到的全选后点清理(删除)
|