中毒症状: 用杀毒软件查毒发现在C盘的安装目录Internet Explorer\53u1ttMe.2ys,怎么也杀不掉,用金山扫描并杀了之后重起又出现了、、、、、、
经过分析,方法如下:
1、用Unlocker 1.8.5(http://hi.baidu.com/kongie/blog/item/8975d639d4bb7bf13b87ce00.html)删除以下文件,若有些文件没有则跳过:
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\cho1F.tmp C:\WINDOWS\system32\3D144530.dll C:\WINDOWS\system32\DE02F764.dll C:\WINDOWS\system32\43ACDCC5.dll C:\WINDOWS\system32\E3367679.dll C:\WINDOWS\system32\D7C79813.dll C:\WINDOWS\system32\122B901E.dll C:\WINDOWS\system32\A8FC611B.dll C:\WINDOWS\system32\12B02216.dll C:\WINDOWS\system32\E4814792.dll C:\WINDOWS\system32\9F684DE8.dll C:\WINDOWS\system32\22D75360.dll C:\WINDOWS\system32\4BF9CBA3.dll C:\WINDOWS\system32\3474A8C2.dll C:\WINDOWS\system32\DA63E650.dll C:\WINDOWS\system32\B3721C07.dll C:\WINDOWS\system32\58FF3024.dll C:\WINDOWS\system32\8566F82E.dll C:\WINDOWS\system32\495271CA.dll C:\WINDOWS\system32\08223B03.dll C:\WINDOWS\system32\9CA963CA.dll C:\WINDOWS\system32\8b52f47.sys System32\Drivers\aliimz.sys \system32\drivers\HBKernel32.sys C:\WINDOWS\system32\npkcrypt.sys C:\WINDOWS\system32\npkycryp.sys \System32\Drivers\sptd.sys C:\WINDOWS\system32\gdipro.dll C:\WINDOWS\system32\sys05020.dll C:\WINDOWS\system32\HBmhly.dll C:\WINDOWS\system32\HBTL.dll C:\WINDOWS\system32\HBWOW.dll C:\WINDOWS\system32\HBWD.dll C:\Program Files\Internet Explorer\53u1ttMe.2ys C:\WINDOWS\system32\alivin.dll C:\WINDOWS\system32\msdmo.dll D:\Program Files\PSAPI.DLL C:\WINDOWS\system32\9fd8db.sys C:\WINDOWS\system32\c551839.sys C:\WINDOWS\system32\5102a80.sys C:\WINDOWS\system32\4901228.sys
2、使用Autorun病毒防御者 正式版进行全盘查杀病毒。并运行内置工具修复IEFO映象挟持(也可用IFEO映像挟持修复程序:http://www.91files.com/?2GKZLHFKHLCA8EG0P5F4
http://hi.baidu.com/kongie/blog/item/39be357a69cce9ed2f73b344.html
3、用SREng删除以下【注册表】项(没有则跳过): SRENG2.5 http://hi.baidu.com/kongie/blog/item/626252da653804d9b7fd48f8.html
<nwiz><alivin.exe> <svt233><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\cho1F.tmp>
<AppInit_DLLs><HBmhly.dll,HBTL.dll,HBWOW.dll,HBWD.dll> 注意此项:修复<AppInit_DLLs> 不要把<AppInit_DLLs>删除掉,是将以下此项中的<HBmhly.dll,HBTL.dll,HBWOW.dll,HBWD.dll>全部删除,不包括<>
{3D144530-43DA-47CC-B7C7-A3A9F3B9A6B2} {DE02F764-C51A-4788-9597-D78ECC2AC08F} {43ACDCC5-9009-4AF4-B80A-93BC656EF298} {E3367679-4775-4244-A62E-4CFE58FC850B} {D7C79813-9233-4AE0-832C-99B2E8019673} {122B901E-493F-4AD9-BC69-7DE8C3E52FCC} {A8FC611B-71F6-4B4D-BD3A-BFBCCDE96F57} {12B02216-AC3F-42A7-8313-449771237061} {E4814792-EFA3-4C20-93D0-8B130A59F9A8} {9F684DE8-3E87-4174-9033-E02A3DFD8B61} {22D75360-199D-4F79-880D-82E766675F06} {4BF9CBA3-8DEE-41A1-8BDB-FC28D30E949F} {3474A8C2-BEF9-46C8-983A-A26A0030EC30} {DA63E650-537C-4042-87BB-9D19D844680B} {B3721C07-62B3-411A-9DC7-F5F27E3E21FF} {58FF3024-8A83-4B1A-88E9-302F47646EEE} {8566F82E-03A4-416E-AEAC-66600D8881F1} {495271CA-D0C6-4052-ABE6-5B01C73CDFB0} {08223B03-1B38-4A33-A83A-A4D3CC1D6E4E} {9CA963CA-107C-4089-B0AB-31380F90D7E3}
4、使用SRENG,启动项目,服务,【驱动程序】,禁用以下项(选中后,在启动类型中选择Disabled,修改启动类型,最后点击设置即可。)
[8b52f47 / 8b52f47] [aliimz / aliimz] [HBKernel32 Driver / HBKernel32] [npkcrypt / npkcrypt] [npkycryp / npkycryp] [sptd / sptd] [4901228 / 4901228] [5102a80 / 5102a80] [9fd8db / 9fd8db] [c551839 / c551839]
5、用SREng重置【HOSTS 文件】 127.0.0.1 v.onondown.com.cn 127.0.0.2 ymsdasdw1.cn 127.0.0.3 h96b.info 127.0.0.0 www.bypk.com 127.0.0.1 va9sdhun23.cn 127.0.0.2 bnasnd83nd.cn 127.0.0.0 www.gamehacker.com.cn 127.0.0.0 gamehacker.com.cn 127.0.0.3 adlaji.cn 127.0.0.1 858656.com 127.1.1.1 bnasnd83nd.cn 127.0.0.1 my123.com 127.0.0.0 user1.12-27.net 127.0.0.1 8749.com 127.0.0.0 fengent.cn 127.0.0.1 4199.com 127.0.0.1 user1.16-22.net 127.0.0.1 7379.com 127.0.0.1 2be37c5f.3f6e2cc5f0b.com 127.0.0.1 7255.com 127.0.0.1 user1.23-12.net 127.0.0.1 3448.com 127.0.0.1 www.guccia.net 127.0.0.1 7939.com 127.0.0.1 a.o1o1o1.nEt 127.0.0.1 8009.com 127.0.0.1 user1.12-73.cn 127.0.0.1 piaoxue.com 127.0.0.1 3n8nlasd.cn 127.0.0.1 kzdh.com 127.0.0.0 www.sony888.cn 127.0.0.1 about.blank.la 127.0.0.0 user1.asp-33.cn 127.0.0.1 6781.com 127.0.0.0 www.netkwek.cn 127.0.0.1 7322.com 127.0.0.0 ymsdkad6.cn 127.0.0.1 localhost 127.0.0.0 www.lkwueir.cn 127.0.0.1 06.jacai.com 127.0.1.1 user1.23-17.net 127.0.0.1 1.jopenkk.com 127.0.0.0 upa.luzhiai.net 127.0.0.1 1.jopenqc.com 127.0.0.0 www.guccia.net 127.0.0.1 1.joppnqq.com 127.0.0.0 4m9mnlmi.cn 127.0.0.1 1.xqhgm.com 127.0.0.0 mm119mkssd.cn 127.0.0.1 100.332233.com 127.0.0.0 61.128.171.115:8080 127.0.0.1 121.11.90.79 127.0.0.0 www.1119111.com 127.0.0.1 121565.net 127.0.0.0 win.nihao69.cn 127.0.0.1 125.90.88.38 127.0.0.1 16888.6to23.com 127.0.0.1 2.joppnqq.com 127.0.0.0 puc.lianxiac.net 127.0.0.1 204.177.92.68 127.0.0.0 pud.lianxiac.net 127.0.0.1 210.74.145.236 127.0.0.0 210.76.0.133 127.0.0.1 219.129.239.220 127.0.0.0 61.166.32.2 127.0.0.1 219.153.40.221 127.0.0.0 218.92.186.27 127.0.0.1 219.153.46.27 127.0.0.0 www.fsfsfag.cn 127.0.0.1 219.153.52.123 127.0.0.0 ovo.ovovov.cn 127.0.0.1 221.195.42.71 127.0.0.0 dw.com.com 127.0.0.1 222.73.218.115 127.0.0.1 203.110.168.233:80 127.0.0.1 3.joppnqq.com 127.0.0.1 203.110.168.221:80 127.0.0.1 363xx.com 127.0.0.1 www1.ip10086.com.cm 127.0.0.1 4199.com 127.0.0.1 blog.ip10086.com.cn 127.0.0.1 43242.com 127.0.0.1 www.ccji68.cn 127.0.0.1 5.xqhgm.com 127.0.0.0 t.myblank.cn 127.0.0.1 520.mm5208.com 127.0.0.0 x.myblank.cn 127.0.0.1 59.34.131.54 127.0.0.1 210.51.45.5 127.0.0.1 59.34.198.228 127.0.0.1 www.ew1q.cn 127.0.0.1 59.34.198.88 127.0.0.1 59.34.198.97 127.0.0.1 60.190.114.101 127.0.0.1 60.190.218.34 127.0.0.0 qq-xing.com.cn 127.0.0.1 60.191.124.252 127.0.0.1 61.145.117.212 127.0.0.1 61.157.109.222 127.0.0.1 75.126.3.216 127.0.0.1 75.126.3.217 127.0.0.1 75.126.3.218 127.0.0.0 59.125.231.177:17777 127.0.0.1 75.126.3.220 127.0.0.1 75.126.3.221 127.0.0.1 75.126.3.222 127.0.0.1 772630.com 127.0.0.1 832823.cn 127.0.0.1 8749.com 127.0.0.1 888.jopenqc.com 127.0.0.1 89382.cn 127.0.0.1 8v8.biz 127.0.0.1 97725.com 127.0.0.1 9gg.biz 127.0.0.1 www.9000music.com 127.0.0.1 test.591jx.com 127.0.0.1 a.topxxxx.cn 127.0.0.1 picon.chinaren.com 127.0.0.1 www.5566.net 127.0.0.1 p.qqkx.com 127.0.0.1 news.netandtv.com 127.0.0.1 z.neter888.cn 127.0.0.1 b.myblank.cn 127.0.0.1 wvw.wokutu.com 127.0.0.1 unionch.qyule.com 127.0.0.1 www.qyule.com 127.0.0.1 it.itjc.cn 127.0.0.1 www.linkwww.com 127.0.0.1 vod.kaicn.com 127.0.0.1 www.tx8688.com 127.0.0.1 b.neter888.cn 127.0.0.1 promote.huanqiu.com 127.0.0.1 www.huanqiu.com 127.0.0.1 www.haokanla.com 127.0.0.1 play.unionsky.cn 127.0.0.1 www.52v.com 127.0.0.1 www.gghka.cn 127.0.0.1 icon.ajiang.net 127.0.0.1 new.ete.cn 127.0.0.1 www.stiae.cn 127.0.0.1 o.neter888.cn 127.0.0.1 comm.jinti.com 127.0.0.1 www.google-analytics.com 127.0.0.1 hz.mmstat.com 127.0.0.1 www.game175.cn 127.0.0.1 x.neter888.cn 127.0.0.1 z.neter888.cn 127.0.0.1 p.etimes888.com 127.0.0.1 hx.etimes888.com 127.0.0.1 abc.qqkx.com 127.0.0.1 dm.popdm.cn 127.0.0.1 www.yl9999.com 127.0.0.1 www.dajiadoushe.cn 127.0.0.1 v.onondown.com.cn 127.0.0.1 www.interoo.net 127.0.0.1 bally1.bally-bally.net 127.0.0.1 www.bao5605509.cn 127.0.0.1 www.rty456.cn 127.0.0.1 www.werqwer.cn 127.0.0.1 1.360-1.cn 127.0.0.1 user1.23-16.net 127.0.0.1 www.guccia.net 127.0.0.1 www.interoo.net 127.0.0.1 upa.netsool.net 127.0.0.1 js.users.51.la 127.0.0.1 vip2.51.la 127.0.0.1 web.51.la 127.0.0.1 qq.gong2008.com 127.0.0.1 2008tl.copyip.com 127.0.0.1 tla.laozihuolaile.cn 127.0.0.1 www.tx6868.cn 127.0.0.1 p001.tiloaiai.com 127.0.0.1 s1.tl8tl.com 127.0.0.1 s1.gong2008.com 127.0.0.1 4b3ce56f9g.3f6e2cc5f0b.com 127.0.0.1 2be37c5f.3f6e2cc5f0b.com
6、重启系统。
注:rpcss.dll文件可能被破坏,可能系统在杀完毒也无法正常运行。那我的建议是在正常的系统中拷贝或网上下载一个。替换到c:\windows\system32\rpcss.dll。可以进入安全模式或DOS或PE维护系统下进行替换。
|