控制面板--管理工具--服务--查找 Gmail Server Network DDE Server Remote Administration Service Update Service For Windows 禁止这四个服务
运行Hijackthis,把下面的选中打上钩,修复 R3 - URLSearchHook: QQ Search Hook - {DB8B2393-7A6C-4C76-88CE-6B1F6FF6FFE9} - C:\Program Files\TENCENT\AddrPlus\IEHelp.dll (file missing) R3 - URLSearchHook: (no name) - {BB936323-19FA-4521-BA29-ECA6A121BC78} - (no file) F2 - REG:system.ini: Shell=Explorer.exe 1 F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\system32\internst.exe O2 - BHO: Tencent Browser Helper - {0C7C23EF-A848-485B-873C-0ED954731014} - (no file) O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\CnsHook.dll O2 - BHO: (no name) - {E730189A-9973-4121-B046-AD1C161EC3AF} - C:\WINDOWS\system32\37211.dll O21 - SSODL: DelayRun - {5A6F2F95-3191-433B-8533-EB0B596A7BAC} - C:\WINDOWS\a12d7020.dll O23 - Service: Gmail Server (Gmail) - Unknown owner - C:\WINDOWS\system32\su.exe O23 - Service: Network DDE Server (Network DDE Server ) - Unknown owner - C:\WINDOWS\svchost.exe O23 - Service: Remote Administration Service (rasv) - Unknown owner - C:\WINDOWS\system32\rasv O23 - Service: Rising Personal Firewall Service (RfwService) - Unknown owner - c:\program files\rising\rfw\rfwsrv.exe (file missing) O23 - Service: Update Service For Windows (winupdate) - Unknown owner - C:\WINDOWS\winupdate.exe
O4 - HKLM\..\Run: [Torjan Program] C:\WINDOWS\WINLOGON.EXE 一、结束 WINLOGON.EXE进程。注意,装在C盘的NT系统:木马路径:C:\WINDOWS\WINLOGON.EXE;正常系统进程路经:C:\ WINDOWS\SYSTEM32\WINLOGON.EXE。为避免误将系统进程WINLOGON.EXE结束而导致系统崩溃,动手前务必用 IceSword等可以显示进程路径的工具鉴别一下。不要用微软自带的任务管理器(它根本就不显示进程路径!)。 二、下载RegFix(一个注册表修复工具)。将Regfix.exe的后缀改为scr,按确定。双击Regfix.scr,自动修复注册表主要文件关联项。 三、找到并删除下列文件(见附图)。 四、修改被木马篡改的注册表项:
1、HKEY_CLASSES_ROOT\.lnk\ShellNew "Command"="rundll32.com appwiz.cpl,NewLinkHere %1" 删除"Command"="rundll32.com 2、HKEY_CLASSES_ROOT\.bfc\ShellNew "Command"="%SystemRoot%\\system32\\rundll32.com %SystemRoot%\\system32\\syncui.dll,Briefcase_Create %2!d! %1" 将"Command"="%SystemRoot%\\system32\\rundll32.com改为"Command"="%SystemRoot%\\system32\\rundll32.exe 3、HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command 将@="\"C:\\Program Files\\Internet Explorer\\iexplore.com\" %1"改为@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" %1"
4、HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
将@="\"C:\\Program Files\\Internet Explorer\\iexplore.com\""改为@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\""
5、HKEY_CLASSES_ROOT\cplfile\shell\cplopen\command @="rundll32.com shell32.dll,Control_RunDLL \"%1\",%*" 删除@="rundll32.com 6、HKEY_CLASSES_ROOT\Drive\shell\find\command
将@="%SystemRoot%\\explorer.com"改为@="%SystemRoot%\\explorer.exe"
7、HKEY_CLASSES_ROOT\dunfile\shell\open\command
将@="%SystemRoot%\\system32\\rundll32.com NETSHELL.DLL,InvokeDunFile %1"改为@="%SystemRoot%\\system32\\rundll32.exe NETSHELL.DLL,InvokeDunFile %1"
8、HKEY_CLASSES_ROOT\ftp\shell\open\command 将@="\"C:\\Program Files\\Internet Explorer\\iexplore.com\" %1"改为@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" %1"
9、HKEY_CLASSES_ROOT\htmlfile\shell\open\command 将@="\"C:\\Program Files\\Internet Explorer\\iexplore.com\" -nohome"改为@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" -nohome"
10、HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command
删除@="\"C:\\Program Files\\common~1\\iexplore.pif\" %1"
11、HKEY_CLASSES_ROOT\htmlfile\shell\print\command 删除@=rundll32.com
12、HKEY_CLASSES_ROOT\inffile\shell\Install\command 删除@="%SystemRoot%\\System32\\rundll32.com
13、HKEY_CLASSES_ROOT\InternetShortcut\shell\open\command 删除@="finder.com
14、HKEY_CLASSES_ROOT\scrfile\shell\install\command 删除@="finder.com 15、HKEY_CLASSES_ROOT\scriptletfile\Shell\Generate Typelib\command 删除@="\"C:\\WINDOWS\\system32\\finder.com\"
16、HKEY_CLASSES_ROOT\telnet\shell\open\command 删除@="finder.com
17、HKEY_CLASSES_ROOT\Unknown\shell\openas\command 删除@="%SystemRoot%\\system32\\finder.com 18、HKEY_CLASSES_ROOT\winfiles\Shell\Open\Command 删除@="C:\\WINDOWS\\ExERoute.exe \"%1\" %*"
19、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除"Torjan Program"="C:\\WINDOWS\\WINLOGON.EXE"
20、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 将"Shell"="Explorer.exe 1"改为"Shell"="Explorer.exe"
O4 - HKLM\..\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe http://forum.ikaka.com/topic.asp?board=67&artid=8155668
小技巧:
如果以上方法都无法解决此问题,请登陆https://www.45its.com/mianfeiliuyanban/index.asp?user=jinjunhe留言提问(提问请附上HijackThis扫描日志,以便我们分析问题),暂时处理办法:打开IE--internet选项--限制这个网址即可。
本文为电脑软硬件应用网原创文章,转载请保留此条信息,并请注明作者和转载出处!
|