网友发来邮件:
中毒症状:
有SIZHU.EXE,双击打不开硬盘,我用USB专杀工具杀掉了,现在可以打开硬盘,可是用CTRL+ALT+DEL进不了看进程;
我用NOD32,可是安装后不能更新,ID截取工具没用,老说连不上网络,这个杀毒工具根不杀不掉我电脑里的病毒...
还有,我用360顽固专杀,扫描出TROJAN/PAS...及TROJAN/ONL...,可是就是杀不掉,杀了还有...
另外,开了IE,都无法正常上网,老弹出别的网站(多个)...
注:我都是在断网的安全模式下杀,可是还是杀不掉...
经过分析,方法如下:
1、用Unlocker 1.8.5
(可到down.45its.com下载)删除以下文件,若有些文件没有则跳过:
C:\windows\system\llwzjy080923.exe
C:\windows\system32\SiZhu.exe
System.exe
C:\windows\system32\47E0n4.dll
C:\windows\system32\r2wIqo.dll
C:\WINDOWS\system32\wioabh.dll
C:\Program Files\Common Files\Menapui\naiiwo.exe
C:\WINDOWS\system32\ywmleg.dll
C:\WINDOWS\system32\kmulki.dll
C:\windows\system32\drivers\acpidisk.sys
C:\WINDOWS\system32\drivers\BTNetFilter.sys
C:\WINDOWS\system32\drivers\dump_wmimmc.sys
C:\WINDOWS\system32\DRIVERS\epfwtdir.sys
C:\WINDOWS\system32\DRIVERS\HBKernel32.sys
C:\WINDOWS\system32\drivers\nkksl.sys
D:\工具\QQ\npkycryp.sys
C:\WINDOWS\system32\drivers\vozdj.sys
C:\Documents and Settings\All Users\Application Data\Microsoft\Media
Player\obj\wmpobj.sys
C:\windows\system32\HBTL.dll
C:\windows\system32\HBmhly.dll
C:\windows\system32\HBWOW.dll
C:\autorun.inf
D:\autorun.inf
E:\autorun.inf
F:\autorun.inf
2、使用Autorun病毒防御者 正式版进行全盘查杀AUTO病毒。并运行内置工具修复IEFO映象挟持。(也可用IFEO映像挟持修复程序:可到down.45its.com下载)(如果AUTO病毒较历害,这步也可以放在第1步执行)
3、用SREng删除以下【注册表】项(没有则跳过):
SRENG2.5可到down.45its.com下载
<HBService32><System.exe>
<YhgR><%systemroot%\system32\rundll32.exe %systemroot%\system32
\47E0n4.dll,DllRegisterServer>
<vSaQ><%systemroot%\system32\rundll32.exe %systemroot%\system32
\r2wIqo.dll,DllRegisterServer>
<AppInit_DLLs><HBWOW.dll,HBTL.dll,HBmhly.dll>
注意此项:修复<AppInit_DLLs> 不要把<AppInit_DLLs>删除掉,是将以下此项
中的<HBWOW.dll,HBTL.dll,HBmhly.dll>全部删除,不包括<>
<IFEO[360hotfix.exe]>ntsd -d
<IFEO[360safebox.exe]>ntsd -d
<IFEO[AntiArp.exe]>ntsd -d
<IFEO[arvmon.exe]>ntsd -d
<IFEO[AutoGuarder.exe]>ntsd -d
<IFEO[findt2005.exe]>ntsd -d
<IFEO[IsHelp.exe]>ntsd -d
<IFEO[killhidepid.exe]>ntsd -d
<IFEO[kvfw.exe]>ntsd -d
<IFEO[KVScan.kxp]>ntsd -d
<IFEO[KvXP_1.kxp]>ntsd -d
<IFEO[RavCopy.exe]>ntsd -d
<IFEO[RavStore.exe]>ntsd -d
<IFEO[ravt08.exe]>ntsd -d
<IFEO[rfwolusr.exe]>ntsd -d
<IFEO[safebank.exe]>ntsd -d
<IFEO[safeboxTray.exe]>ntsd -d
<IFEO[smartassistant.exe]>ntsd -d
<IFEO[SREngPS.exe]>ntsd -d
<IFEO[syscheck.exe]>ntsd -d
<IFEO[Syscheck2.exe]>ntsd -d
<IFEO[ToolsUp.exe]>ntsd -d
<IFEO[修复工具.exe]>ntsd -d
................
4、使用SRENG,启动项目,服务,【win32服务应用程序】,禁用以下项(选中后,在启动类型中选择Disabled,修改启动类型,最后点击设置即可。)
[BlueSoleil Hid Service / BlueSoleil Hid Service]
[hevhee / hevhee]
[Local Access Connection Application Program Interface / lasapi]
[Windows Time / W32Time]
[Windows Times / W32Times]
5、使用SRENG,启动项目,服务,【驱动程序】,禁用以下项(选中后,在启动类型中选择Disabled,修改启动类型,最后点击设置即可。)
[acpidisk / acpidisk]
[Bluetooth HID Enumerator / BTHidEnum]
[Bluetooth Network Filter / BTNetFilter]
[dump_wmimmc / dump_wmimmc]
[epfwtdir / epfwtdir]
[HBKernel32 Driver / HBKernel32]
[nkksl / nkksl]
[npkycryp / npkycryp]
[vozdj / vozdj]
[wmpobj / wmpobj]
6、重启电脑可重复执行