中毒症状:
用杀毒软件查毒发现在C盘的安装目录Internet Explorer\53u1ttMe.2ys,怎么也杀不掉,用金山扫描并杀了之后重起又出现了、、、、、、
经过分析,方法如下:
1、用Unlocker 1.8.5(http://hi.baidu.com/kongie/blog/item/8975d639d4bb7bf13b87ce00.html)删除以下文件,若有些文件没有则跳过:
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\cho1F.tmp
C:\WINDOWS\system32\3D144530.dll
C:\WINDOWS\system32\DE02F764.dll
C:\WINDOWS\system32\43ACDCC5.dll
C:\WINDOWS\system32\E3367679.dll
C:\WINDOWS\system32\D7C79813.dll
C:\WINDOWS\system32\122B901E.dll
C:\WINDOWS\system32\A8FC611B.dll
C:\WINDOWS\system32\12B02216.dll
C:\WINDOWS\system32\E4814792.dll
C:\WINDOWS\system32\9F684DE8.dll
C:\WINDOWS\system32\22D75360.dll
C:\WINDOWS\system32\4BF9CBA3.dll
C:\WINDOWS\system32\3474A8C2.dll
C:\WINDOWS\system32\DA63E650.dll
C:\WINDOWS\system32\B3721C07.dll
C:\WINDOWS\system32\58FF3024.dll
C:\WINDOWS\system32\8566F82E.dll
C:\WINDOWS\system32\495271CA.dll
C:\WINDOWS\system32\08223B03.dll
C:\WINDOWS\system32\9CA963CA.dll
C:\WINDOWS\system32\8b52f47.sys
System32\Drivers\aliimz.sys
\system32\drivers\HBKernel32.sys
C:\WINDOWS\system32\npkcrypt.sys
C:\WINDOWS\system32\npkycryp.sys
\System32\Drivers\sptd.sys
C:\WINDOWS\system32\gdipro.dll
C:\WINDOWS\system32\sys05020.dll
C:\WINDOWS\system32\HBmhly.dll
C:\WINDOWS\system32\HBTL.dll
C:\WINDOWS\system32\HBWOW.dll
C:\WINDOWS\system32\HBWD.dll
C:\Program Files\Internet Explorer\53u1ttMe.2ys
C:\WINDOWS\system32\alivin.dll
C:\WINDOWS\system32\msdmo.dll
D:\Program Files\PSAPI.DLL
C:\WINDOWS\system32\9fd8db.sys
C:\WINDOWS\system32\c551839.sys
C:\WINDOWS\system32\5102a80.sys
C:\WINDOWS\system32\4901228.sys
2、使用Autorun病毒防御者 正式版进行全盘查杀病毒。并运行内置工具修复IEFO映象挟持(也可用IFEO映像挟持修复程序:http://www.91files.com/?2GKZLHFKHLCA8EG0P5F4
http://hi.baidu.com/kongie/blog/item/39be357a69cce9ed2f73b344.html
3、用SREng删除以下【注册表】项(没有则跳过):
SRENG2.5
http://hi.baidu.com/kongie/blog/item/626252da653804d9b7fd48f8.html
<nwiz><alivin.exe>
<svt233><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\cho1F.tmp>
<AppInit_DLLs><HBmhly.dll,HBTL.dll,HBWOW.dll,HBWD.dll>
注意此项:修复<AppInit_DLLs> 不要把<AppInit_DLLs>删除掉,是将以下此项中的<HBmhly.dll,HBTL.dll,HBWOW.dll,HBWD.dll>全部删除,不包括<>
{3D144530-43DA-47CC-B7C7-A3A9F3B9A6B2}
{DE02F764-C51A-4788-9597-D78ECC2AC08F}
{43ACDCC5-9009-4AF4-B80A-93BC656EF298}
{E3367679-4775-4244-A62E-4CFE58FC850B}
{D7C79813-9233-4AE0-832C-99B2E8019673}
{122B901E-493F-4AD9-BC69-7DE8C3E52FCC}
{A8FC611B-71F6-4B4D-BD3A-BFBCCDE96F57}
{12B02216-AC3F-42A7-8313-449771237061}
{E4814792-EFA3-4C20-93D0-8B130A59F9A8}
{9F684DE8-3E87-4174-9033-E02A3DFD8B61}
{22D75360-199D-4F79-880D-82E766675F06}
{4BF9CBA3-8DEE-41A1-8BDB-FC28D30E949F}
{3474A8C2-BEF9-46C8-983A-A26A0030EC30}
{DA63E650-537C-4042-87BB-9D19D844680B}
{B3721C07-62B3-411A-9DC7-F5F27E3E21FF}
{58FF3024-8A83-4B1A-88E9-302F47646EEE}
{8566F82E-03A4-416E-AEAC-66600D8881F1}
{495271CA-D0C6-4052-ABE6-5B01C73CDFB0}
{08223B03-1B38-4A33-A83A-A4D3CC1D6E4E}
{9CA963CA-107C-4089-B0AB-31380F90D7E3}
4、使用SRENG,启动项目,服务,【驱动程序】,禁用以下项(选中后,在启动类型中选择Disabled,修改启动类型,最后点击设置即可。)
[8b52f47 / 8b52f47]
[aliimz / aliimz]
[HBKernel32 Driver / HBKernel32]
[npkcrypt / npkcrypt]
[npkycryp / npkycryp]
[sptd / sptd]
[4901228 / 4901228]
[5102a80 / 5102a80]
[9fd8db / 9fd8db]
[c551839 / c551839]
5、用SREng重置【HOSTS 文件】
127.0.0.1 v.onondown.com.cn
127.0.0.2 ymsdasdw1.cn
127.0.0.3 h96b.info
127.0.0.0 www.bypk.com
127.0.0.1 va9sdhun23.cn
127.0.0.2 bnasnd83nd.cn
127.0.0.0 www.gamehacker.com.cn
127.0.0.0 gamehacker.com.cn
127.0.0.3 adlaji.cn
127.0.0.1 858656.com
127.1.1.1 bnasnd83nd.cn
127.0.0.1 my123.com
127.0.0.0 user1.12-27.net
127.0.0.1 8749.com
127.0.0.0 fengent.cn
127.0.0.1 4199.com
127.0.0.1 user1.16-22.net
127.0.0.1 7379.com
127.0.0.1 2be37c5f.3f6e2cc5f0b.com
127.0.0.1 7255.com
127.0.0.1 user1.23-12.net
127.0.0.1 3448.com
127.0.0.1 www.guccia.net
127.0.0.1 7939.com
127.0.0.1 a.o1o1o1.nEt
127.0.0.1 8009.com
127.0.0.1 user1.12-73.cn
127.0.0.1 piaoxue.com
127.0.0.1 3n8nlasd.cn
127.0.0.1 kzdh.com
127.0.0.0 www.sony888.cn
127.0.0.1 about.blank.la
127.0.0.0 user1.asp-33.cn
127.0.0.1 6781.com
127.0.0.0 www.netkwek.cn
127.0.0.1 7322.com
127.0.0.0 ymsdkad6.cn
127.0.0.1 localhost
127.0.0.0 www.lkwueir.cn
127.0.0.1 06.jacai.com
127.0.1.1 user1.23-17.net
127.0.0.1 1.jopenkk.com
127.0.0.0 upa.luzhiai.net
127.0.0.1 1.jopenqc.com
127.0.0.0 www.guccia.net
127.0.0.1 1.joppnqq.com
127.0.0.0 4m9mnlmi.cn
127.0.0.1 1.xqhgm.com
127.0.0.0 mm119mkssd.cn
127.0.0.1 100.332233.com
127.0.0.0 61.128.171.115:8080
127.0.0.1 121.11.90.79
127.0.0.0 www.1119111.com
127.0.0.1 121565.net
127.0.0.0 win.nihao69.cn
127.0.0.1 125.90.88.38
127.0.0.1 16888.6to23.com
127.0.0.1 2.joppnqq.com
127.0.0.0 puc.lianxiac.net
127.0.0.1 204.177.92.68
127.0.0.0 pud.lianxiac.net
127.0.0.1 210.74.145.236
127.0.0.0 210.76.0.133
127.0.0.1 219.129.239.220
127.0.0.0 61.166.32.2
127.0.0.1 219.153.40.221
127.0.0.0 218.92.186.27
127.0.0.1 219.153.46.27
127.0.0.0 www.fsfsfag.cn
127.0.0.1 219.153.52.123
127.0.0.0 ovo.ovovov.cn
127.0.0.1 221.195.42.71
127.0.0.0 dw.com.com
127.0.0.1 222.73.218.115
127.0.0.1 203.110.168.233:80
127.0.0.1 3.joppnqq.com
127.0.0.1 203.110.168.221:80
127.0.0.1 363xx.com
127.0.0.1 www1.ip10086.com.cm
127.0.0.1 4199.com
127.0.0.1 blog.ip10086.com.cn
127.0.0.1 43242.com
127.0.0.1 www.ccji68.cn
127.0.0.1 5.xqhgm.com
127.0.0.0 t.myblank.cn
127.0.0.1 520.mm5208.com
127.0.0.0 x.myblank.cn
127.0.0.1 59.34.131.54
127.0.0.1 210.51.45.5
127.0.0.1 59.34.198.228
127.0.0.1 www.ew1q.cn
127.0.0.1 59.34.198.88
127.0.0.1 59.34.198.97
127.0.0.1 60.190.114.101
127.0.0.1 60.190.218.34
127.0.0.0 qq-xing.com.cn
127.0.0.1 60.191.124.252
127.0.0.1 61.145.117.212
127.0.0.1 61.157.109.222
127.0.0.1 75.126.3.216
127.0.0.1 75.126.3.217
127.0.0.1 75.126.3.218
127.0.0.0 59.125.231.177:17777
127.0.0.1 75.126.3.220
127.0.0.1 75.126.3.221
127.0.0.1 75.126.3.222
127.0.0.1 772630.com
127.0.0.1 832823.cn
127.0.0.1 8749.com
127.0.0.1 888.jopenqc.com
127.0.0.1 89382.cn
127.0.0.1 8v8.biz
127.0.0.1 97725.com
127.0.0.1 9gg.biz
127.0.0.1 www.9000music.com
127.0.0.1 test.591jx.com
127.0.0.1 a.topxxxx.cn
127.0.0.1 picon.chinaren.com
127.0.0.1 www.5566.net
127.0.0.1 p.qqkx.com
127.0.0.1 news.netandtv.com
127.0.0.1 z.neter888.cn
127.0.0.1 b.myblank.cn
127.0.0.1 wvw.wokutu.com
127.0.0.1 unionch.qyule.com
127.0.0.1 www.qyule.com
127.0.0.1 it.itjc.cn
127.0.0.1 www.linkwww.com
127.0.0.1 vod.kaicn.com
127.0.0.1 www.tx8688.com
127.0.0.1 b.neter888.cn
127.0.0.1 promote.huanqiu.com
127.0.0.1 www.huanqiu.com
127.0.0.1 www.haokanla.com
127.0.0.1 play.unionsky.cn
127.0.0.1 www.52v.com
127.0.0.1 www.gghka.cn
127.0.0.1 icon.ajiang.net
127.0.0.1 new.ete.cn
127.0.0.1 www.stiae.cn
127.0.0.1 o.neter888.cn
127.0.0.1 comm.jinti.com
127.0.0.1 www.google-analytics.com
127.0.0.1 hz.mmstat.com
127.0.0.1 www.game175.cn
127.0.0.1 x.neter888.cn
127.0.0.1 z.neter888.cn
127.0.0.1 p.etimes888.com
127.0.0.1 hx.etimes888.com
127.0.0.1 abc.qqkx.com
127.0.0.1 dm.popdm.cn
127.0.0.1 www.yl9999.com
127.0.0.1 www.dajiadoushe.cn
127.0.0.1 v.onondown.com.cn
127.0.0.1 www.interoo.net
127.0.0.1 bally1.bally-bally.net
127.0.0.1 www.bao5605509.cn
127.0.0.1 www.rty456.cn
127.0.0.1 www.werqwer.cn
127.0.0.1 1.360-1.cn
127.0.0.1 user1.23-16.net
127.0.0.1 www.guccia.net
127.0.0.1 www.interoo.net
127.0.0.1 upa.netsool.net
127.0.0.1 js.users.51.la
127.0.0.1 vip2.51.la
127.0.0.1 web.51.la
127.0.0.1 qq.gong2008.com
127.0.0.1 2008tl.copyip.com
127.0.0.1 tla.laozihuolaile.cn
127.0.0.1 www.tx6868.cn
127.0.0.1 p001.tiloaiai.com
127.0.0.1 s1.tl8tl.com
127.0.0.1 s1.gong2008.com
127.0.0.1 4b3ce56f9g.3f6e2cc5f0b.com
127.0.0.1 2be37c5f.3f6e2cc5f0b.com
6、重启系统。
注:rpcss.dll文件可能被破坏,可能系统在杀完毒也无法正常运行。那我的建议是在正常的系统中拷贝或网上下载一个。替换到c:\windows\system32\rpcss.dll。可以进入安全模式或DOS或PE维护系统下进行替换。
|