要清除这个病毒,先得知道它的一些必要的行为:
首先,因为病毒的文件名称是随机的,所以得找到它的病原体,这需要用户有一定经验。
文件名称: [随机病毒名].dll
释放文件:
%SystemRoot%\system32\[病毒随机名1].dll (病毒本体) QQ安装目录\[病毒随机名2].dll (病毒本体) %SystemRoot%\system32\ok1.exe (联网下载的) %SystemRoot%\system32\navcoy.dll (通过ok1.exe安装的) QQ安装目录\rasadhlp.dll
我们可以在QQ目录中查看这些Dll的文件名,发现文件名是随机字符且没有任何意义的,大小符合42KB并且没有公司名属性的文件就基本可以判断它是病毒文件了。
其中,位于system32下的Dll病毒文件会插入到所有非SYSTEM账户权限的进程中,而QQ目录中的病毒会和QQ的所有相关程序同时启动。
病毒破坏安全模式,结束360安全卫士、瑞星卡卡助手(甚至是它的安装程序)、优化大师出品的流氓软件清理工具、BTBAICAI等程序,关闭含有8749关键字的IE窗口。
——以上这些行为都对清除病毒来说比较重要。
清除方法:
首先,尽量关闭应用程序
利用各种软件的“重启删除”“强制删除”“粉碎文件”等功能(目前KV、瑞星、金山等系列安全软件均附带这些功能)删除如下文件(这里建议到down.45its.com下载费尔木马强制删除器工具进行强制删除):
%SystemRoot%\system32\[病毒随机名1].dll QQ安装目录\[病毒随机名2].dll
在“开始菜单-运行”中输入如下命令:
Regsvr32 /u navcoy.dll
然后重新启动计算机,删除如下文件:
%SystemRoot%\system32\ok1.exe %SystemRoot%\system32\navcoy.dll QQ安装目录\rasadhlp.dll
删除如下注册表键值(开始菜单-运行-输入“regedit”):
HKEY_CLASSES_ROOT\CLSID\{62EA62EA-3FB7-51D9-D951-A62EA62EA62E} HKEY_CLASSES_ROOT\Interface\{BEB97014-3C77-46E0-B23E-194614588A0B} HKEY_LOCAL_MACHINE\SOFTWARE\8749 technologies HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{62EA62EA-3FB7-51D9-D951-A62EA62EA62E} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{BEB97014-3C77-46E0-B23E-194614588A0B} 其余的一些残留键值可以用一些注册表清理工具清除,并无大碍
恢复IE主页和搜索页等设置,并重置HOSTS列表,这些可以用SREng修复
恢复安全模式,可以使用SREng修复。具体方法:SREng-修复系统-高级修复-修复安全模式
|