Trojan-PSW.Win32.Nilage.bcw分析解决教程(2)
电脑软硬件应用网 45IT.COM 时间:2007-06-13 08:58 作者:佚名
清除方案:手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)使用 “进程管理”关闭病毒进程(操作步骤:ctrl+alt+del调出任务管理器): mstsc.exe (2)强行删除病毒文件(可使用费尔木马强制删除器工具.zip,down.45it.com下载): %Program Files%\Common Files\Microsoft Shared\ MSInfo\XXXXXXXX.dat %Program Files%\Common Files\Microsoft Shared\ MSInfo\XXXXXXXX.dll %WINDIR%\Help\ XXXXXXXX.chm %WINDIR%\XXXXXXXX.hlp [DRIVE LETTER]:\ AutoRun.inf [DRIVE LETTER]:\ XXXXXXXX.exe (3)恢复病毒修改的注册表项目,删除病毒添加的注册表项(进入步骤:开始-输入“regedit.exe”打开注册表): HKLM\SOFTWARE\Classes\CLSID\ {88D280C8-80C8-8D28-C88D-0C8D20C88D28} 键值 : 字串: " 默认 " = "" HKLM\SOFTWARE\Classes\CLSID\ {88D280C8-80C8-8D28-C88D-0C8D20C88D28}\InProcServer32\ HKLM\SOFTWARE\Classes\CLSID\ {88D280C8-80C8-8D28-C88D-0C8D20C88D28}\InProcServer32 键值 :字串:"默认"="%ProgramFiles%\CommonFiles\ MicrosoftShared\MSInfo\XXXXXXXX.dll" HKLM\SOFTWARE\Classes\CLSID\ {88D280C8-80C8-8D28-C88D-0C8D20C88D28}\InProcServer32 键值 : 字串: " ThreadingModel " = "Apartment" HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\ShellExecuteHooks 键值 : 字串: "{88D280C8-80C8-8D28-C88D-0C8D20C88D28} " = "" (4)将%system%\verclsid.exe.bak中的.bak后缀去掉,改为: %system%\verclsid.exe (5)显示隐藏文件(如无效参考:无法正常显示隐藏文件的解决www.45its.com/Article/pc120/Fault/200612/14165.htm): HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\Advanced\Folder\Hidden\SHOWALL 键值 : dword:"CheckedValue"=dword:00000000 改为:键值 : dword:"CheckedValue"=dword:00000001 (6)将映像劫项中添加多个劫持项删除,路径为: HKLM\Software\Microsoft\Windows NT\CurrentVersion\ Image File Execution Options (7)恢复注册表安全模式,开启特定杀毒软件服务项,自动更新功能,删除 其下载病毒文件。 (8)进行免疫设置,在各个驱动器根目录下新建autorun.ini与autorun.inf 文件,文件属性设为不可删,不可写。
|
------分隔线----------------------------
无法在这个位置找到: baidushare.htm